Ранее я упоминал, что у меня медленный интернет с ИСА 2004. Оказалось виной - TQuota - 1.2 (интернет раз в 10 медленнее работает). Поставил БЕТУ 2.0 - летает все.
» MS ISA Server (часть 1)
Как запретить доступ в ИСЕ2004 к ICQ и к определенным сайтам?
Если вот такая конфигурация: прокси -- ИСА2004 -- компьютеры.
В инет пользоаветели лазают через прокси, к которому нет доступа.
То есть ограничения надо ставить на исе.
Если вот такая конфигурация: прокси -- ИСА2004 -- компьютеры.
В инет пользоаветели лазают через прокси, к которому нет доступа.
То есть ограничения надо ставить на исе.
shub
Цитата:
1. прописывает в исе какой-н нетворкс сетс и вносим туда след ip:
64.12.1.1/16
205.188.0.0/16
64.12.161.0/24
2. создаём url сетс со всякими *.icq.com и т.д.
3. Создаём первым правило (те оно должно стоять до пользоват разреш правил) в котором запрещ доступ по всем протоколам на созданые 2 сетса всем кому аська запрещена.
4. заходим под пользов которым запрещена аська, ставим её хорошую (5-ю версию) и смотрим как она пытается автоопределить подключение.
Если смогла - смотрим в логи под какое правило попало
5. Баним сайты типа www.911.ru
Цитата:
Как запретить доступ в ИСЕ2004 к ICQ и к определенным сайтамсейчас аська лазит в инет по многочисленным портам, но в целом алгаритм такой:
1. прописывает в исе какой-н нетворкс сетс и вносим туда след ip:
64.12.1.1/16
205.188.0.0/16
64.12.161.0/24
2. создаём url сетс со всякими *.icq.com и т.д.
3. Создаём первым правило (те оно должно стоять до пользоват разреш правил) в котором запрещ доступ по всем протоколам на созданые 2 сетса всем кому аська запрещена.
4. заходим под пользов которым запрещена аська, ставим её хорошую (5-ю версию) и смотрим как она пытается автоопределить подключение.
Если смогла - смотрим в логи под какое правило попало 5. Баним сайты типа www.911.ru
Вопрос такой:
Стоит ИСА 2004 SE, все работает, все замечательно, вот только в ней нет Bandwidth Priority Rules - раздачи приоритетов на использование траффика, как было в ISA 2000. Говорят, что в 2004 EE эта возможность есть. Как вы думаете стоит ли из-за этого переходить на Enterprise Edition? И еще, можно ли установить 2004 EE не изменяя Active Directory ?
Стоит ИСА 2004 SE, все работает, все замечательно, вот только в ней нет Bandwidth Priority Rules - раздачи приоритетов на использование траффика, как было в ISA 2000. Говорят, что в 2004 EE эта возможность есть. Как вы думаете стоит ли из-за этого переходить на Enterprise Edition? И еще, можно ли установить 2004 EE не изменяя Active Directory ?
Tabu13
Цитата:
Цитата:
Цитата:
Как вы думаете стоит ли из-за этого переходить на Enterprise Edition?а как сам думаешь? Тут тебе виднее...
Цитата:
можно ли установить 2004 EE не изменяя Active Directory ?в этом месте поподробней...
greenfox
Так не получится, т.к. надо фильтровать на уровне содержания пакетов.
Потому что пакеты, которые идут от пользователей будут иметь адрес прокси.
Так что такое правило никогда не сработает.
Так не получится, т.к. надо фильтровать на уровне содержания пакетов.
Потому что пакеты, которые идут от пользователей будут иметь адрес прокси.
Так что такое правило никогда не сработает.
shub
чего чего!?!?!
чего чего!?!?!
greenfox
В инсталлере ISA 2000 Enterprise было два режима установки Standalone и AD Integrated. Т.е. первый вариант установки не затрагивал AD схему (как и в SE), а второй добавлял туда свои записи, чтобы можно было ИСУ настраивать из GPO. Так вот я и спрашиваю остался ли режим Standalone в ISA 2004 EE ? А то в http://www.microsoft.com/isaserver/evaluation/se_ee_comp/default.mspx меня смущает запись Policies - Array and enterprise policies use Active Directory Application Mode (ADAM).
В инсталлере ISA 2000 Enterprise было два режима установки Standalone и AD Integrated. Т.е. первый вариант установки не затрагивал AD схему (как и в SE), а второй добавлял туда свои записи, чтобы можно было ИСУ настраивать из GPO. Так вот я и спрашиваю остался ли режим Standalone в ISA 2004 EE ? А то в http://www.microsoft.com/isaserver/evaluation/se_ee_comp/default.mspx меня смущает запись Policies - Array and enterprise policies use Active Directory Application Mode (ADAM).
Tabu13
насколько мне известно с 2004 EE всё точно так же, но у меня SE стоит, может нюансы какие я и пропустил...
насколько мне известно с 2004 EE всё точно так же, но у меня SE стоит, может нюансы какие я и пропустил...
greenfox
Цитата:
Еще раз популярно постораюсь объяснить...
Пакетов с таким адресами в их заголовках НИКОГДА!!! не будет, во всех пакетах (которые идут через прокси) будет всегда только адрес прокси.
Ы?
Цитата:
1. прописывает в исе какой-н нетворкс сетс и вносим туда след ip:
64.12.1.1/16
205.188.0.0/16
64.12.161.0/24
Еще раз популярно постораюсь объяснить...
Пакетов с таким адресами в их заголовках НИКОГДА!!! не будет, во всех пакетах (которые идут через прокси) будет всегда только адрес прокси.
Ы?
shub
ты сам то понял что сказал? А как по твоему прокс поймёт куда дальше отправлять пакет то???? Смоделирует интеренет и выдаст страничку нужную?
Учите матчасть и читайте справку, а если совсем не верите поставьте снифер за вашей машиной и посмотрите...
ты сам то понял что сказал? А как по твоему прокс поймёт куда дальше отправлять пакет то???? Смоделирует интеренет и выдаст страничку нужную?
Учите матчасть и читайте справку, а если совсем не верите поставьте снифер за вашей машиной и посмотрите...greenfox
Цитата:
Для установления истины, я выучил матчасть и прочитал справку, и поставил снифер,
только не на сервере, а на другой абстрактной машине.... и вот...мы видим переданные прокси пакеты и пакеты, которые передает прокси...
Я думаю, что картинку пояснять не нужно?
Возвращаясь к моему первому посту, как мне все таки сделать необходимые ограничения?
Цитата:
А как по твоему прокс поймёт куда дальше отправлять пакет то????
Для установления истины, я выучил матчасть и прочитал справку, и поставил снифер,
только не на сервере, а на другой абстрактной машине.... и вот...мы видим переданные прокси пакеты и пакеты, которые передает прокси...
Я думаю, что картинку пояснять не нужно?
Возвращаясь к моему первому посту, как мне все таки сделать необходимые ограничения?
shub
Уважаемый. С вами вижу спорить бесполезно. У вас крайне извращённая система понимания прохождения пакетов от точки а до точки b. То что у вас там анрисовано на картинке - так и есть, только вотскажите мне тогда, как прокс получив запрос на соеденение с www.google.ru пошлёт этому самому гуглю свой запрос если он его ip не знает!? Вы сами то подумайте... lol Второе, по мимо http ваши пользователи могут также ходить в инет по другим портам - и тогда причём тут вообще прокс?! Например если вы слышали то стандартные порты аськи это что-то вроже 5190 ... явно не http... Так вот для того что бы перекрыть все эти дыры и применяется совокупность бана по ip + url + сигнатуры ещё. В случае службы прокси (когда клиент по http пытается выйти на асю) баниться урлы + сигнатуры, в пакетном фильтре баняться ip и подсети аськины и т.д.
Короче lol. Вы толком не понимаете что такое иса сервер и как он работает... Учите матчасть.
Уважаемый. С вами вижу спорить бесполезно. У вас крайне извращённая система понимания прохождения пакетов от точки а до точки b. То что у вас там анрисовано на картинке - так и есть, только вотскажите мне тогда, как прокс получив запрос на соеденение с www.google.ru пошлёт этому самому гуглю свой запрос если он его ip не знает!? Вы сами то подумайте... lol Второе, по мимо http ваши пользователи могут также ходить в инет по другим портам - и тогда причём тут вообще прокс?! Например если вы слышали то стандартные порты аськи это что-то вроже 5190 ... явно не http... Так вот для того что бы перекрыть все эти дыры и применяется совокупность бана по ip + url + сигнатуры ещё. В случае службы прокси (когда клиент по http пытается выйти на асю) баниться урлы + сигнатуры, в пакетном фильтре баняться ip и подсети аськины и т.д.
Короче lol. Вы толком не понимаете что такое иса сервер и как он работает... Учите матчасть.
greenfox
Приминительно к моему случаю, Ваша пустая болтовня не применима и выходит за рамки топика. Если Вы еще раз хотите сказать, что если я создам правила на ИСЕ, которые Вы написали в своем посте и сразу у меня забанется аська? Могу Вас сразу огорчить, что нет! Таким способом я могу только забанить прокси. Аську я смогу забанить, только фильтрами содержания пакетов или как Вы говорите сигнатурами.
Приминительно к моему случаю, Ваша пустая болтовня не применима и выходит за рамки топика. Если Вы еще раз хотите сказать, что если я создам правила на ИСЕ, которые Вы написали в своем посте и сразу у меня забанется аська? Могу Вас сразу огорчить, что нет! Таким способом я могу только забанить прокси. Аську я смогу забанить, только фильтрами содержания пакетов или как Вы говорите сигнатурами.
shub
LOL
LOL
ALL
не могу понять почему, но не работает публикация TCP25 и TCP110
internet -> xxx.xxx.66.250 (MS ISA 2000) 10.10.1.1 -> 10.10.1.40 (w2kServer+MDaemon)
з\ы - публикация HTTP, SQL (TCP inbound), LOG (UDP inbound) работает нормально, а публикация SMTP (TCP inbound) и POP3 (TCP inbound) не работает
internet -> xxx.xxx.66.250:25 (MS ISA 2000) 10.10.1.1 -> 10.10.1.40:25 - не работает
internet -> xxx.xxx.66.250:80 (MS ISA 2000) 10.10.1.1 -> 10.10.1.10:80 - работает
internet -> xxx.xxx.66.250:110 (MS ISA 2000) 10.10.1.1 -> 10.10.1.40:110 - не работает
internet -> xxx.xxx.66.250:514 (MS ISA 2000) 10.10.1.1 -> 10.10.1.8:514 - работает
internet -> xxx.xxx.66.250:1433 (MS ISA 2000) 10.10.1.1 -> 10.10.1.5:1433 - работает
не могу понять почему, но не работает публикация TCP25 и TCP110
internet -> xxx.xxx.66.250 (MS ISA 2000) 10.10.1.1 -> 10.10.1.40 (w2kServer+MDaemon)
з\ы - публикация HTTP, SQL (TCP inbound), LOG (UDP inbound) работает нормально, а публикация SMTP (TCP inbound) и POP3 (TCP inbound) не работает
internet -> xxx.xxx.66.250:25 (MS ISA 2000) 10.10.1.1 -> 10.10.1.40:25 - не работает
internet -> xxx.xxx.66.250:80 (MS ISA 2000) 10.10.1.1 -> 10.10.1.10:80 - работает
internet -> xxx.xxx.66.250:110 (MS ISA 2000) 10.10.1.1 -> 10.10.1.40:110 - не работает
internet -> xxx.xxx.66.250:514 (MS ISA 2000) 10.10.1.1 -> 10.10.1.8:514 - работает
internet -> xxx.xxx.66.250:1433 (MS ISA 2000) 10.10.1.1 -> 10.10.1.5:1433 - работает
Привет всем.
Установил GFI Download Security 6 на ISA 2004. После установки он нигде в ИСЕ не появился. Отдельная консоль для его настройки есть, а в самой ISA`е не видно. Проверено на 2-х компах. Никто не сталкивался? Как побороть?
Установил GFI Download Security 6 на ISA 2004. После установки он нигде в ИСЕ не появился. Отдельная консоль для его настройки есть, а в самой ISA`е не видно. Проверено на 2-х компах. Никто не сталкивался? Как побороть?
OKN
Цитата:
это что за адрес?
в ISA 2000 есть визард для опубликования почтового сервера.
попробуй воспользоваться ним.
из локальной сети telnet 10.10.1.40 25 работает?
Цитата:
SQL наружу? интересно...
Цитата:
10.10.1.1
это что за адрес?
в ISA 2000 есть визард для опубликования почтового сервера.
попробуй воспользоваться ним.
из локальной сети telnet 10.10.1.40 25 работает?
Цитата:
10.10.1.5:1433
SQL наружу? интересно...
И еще вопрос - можно ли провести программу, работающую через SOCKS5(4). Как это сделать? ISA 2004.
gazza
та фильтр есть соот если не ошибаюсь:
add-ins -> applications filter
та фильтр есть соот если не ошибаюсь:
add-ins -> applications filter
greenfox
Это по поводу SOCKS ответ? Есть такой фильтр, просто хотелось бы узнать как правильно создать правило для SOCKS протокола. Или как создать протокол, использующий SOCKS? Заранее спасибо.
Никто не подскажет насчет GFI DS? Никак не хочет встраиваться в 2004...
Это по поводу SOCKS ответ?
Есть такой фильтр, просто хотелось бы узнать как правильно создать правило для SOCKS протокола. Или как создать протокол, использующий SOCKS? Заранее спасибо. Никто не подскажет насчет GFI DS? Никак не хочет встраиваться в 2004...
Всем привет!
Помогите разрешить следующую проблему...
Стоял тестовый ISA сервер... все работало все устраивало, теперь когда все настроил и пощупал решил переставить, но после неправильного выключения (электричетво отрубали) тестовая иса уже не загрузилась... ну и Бог с ней, вырубил ее вообще, взял новый сервер залил систему(имя и IP указал теже) , установил ису.
Начинаю создавать группу пользователей, выбираю юзера из домена, а ИСА мне говорит
"Сбой при удаленном вызове процедуры. Вызов не произведен"
В чем проблема так и не уловил...
похожая ситуация обсуждалась здесь
_http://www.isaserver.ru/ShowPost.aspx?PostID=2528
Соответсвенно снес все упоминания об таком компе как ISA и из активки и из DNS, залил систему заного, поставил ису а она мне все про тоже....
HELP!!!
PS Снес я Стандарт версию ISA и поставил Enterprise версию, этот глюк ушел, все работает замечательно.... в чем была проблема у стандартной версии я так и не понял
pps Поставил сейчас TrafficQuot-y , и стал очень жутко тормозить Инет
Снес все стало нормально...
Это проблема у всех? или она предназначена для стандартной версии и поэтому у меня глючит???
Помогите разрешить следующую проблему...
Стоял тестовый ISA сервер... все работало все устраивало, теперь когда все настроил и пощупал решил переставить, но после неправильного выключения (электричетво отрубали) тестовая иса уже не загрузилась... ну и Бог с ней, вырубил ее вообще, взял новый сервер залил систему(имя и IP указал теже) , установил ису.
Начинаю создавать группу пользователей, выбираю юзера из домена, а ИСА мне говорит
"Сбой при удаленном вызове процедуры. Вызов не произведен"
В чем проблема так и не уловил...
похожая ситуация обсуждалась здесь
_http://www.isaserver.ru/ShowPost.aspx?PostID=2528
Соответсвенно снес все упоминания об таком компе как ISA и из активки и из DNS, залил систему заного, поставил ису а она мне все про тоже....
HELP!!!
PS Снес я Стандарт версию ISA и поставил Enterprise версию, этот глюк ушел, все работает замечательно.... в чем была проблема у стандартной версии я так и не понял
pps Поставил сейчас TrafficQuot-y , и стал очень жутко тормозить Инет
Снес все стало нормально...
Это проблема у всех? или она предназначена для стандартной версии и поэтому у меня глючит???
Цитата:
Поставил сейчас TrafficQuot-y , и стал очень жутко тормозить Инет
Снес все стало нормально...
Это проблема у всех? или она предназначена для стандартной версии и поэтому у меня глючит???
У меня было подобное давно. То ли с dns че-то подкрутил, то ли с авторизацией... Сейчас уже не помню. Вроде dns-запросы разрешил всем без авторизации, и еще что-то. Короче, проблема пропала, я и забыл
TQ стояла на энтерпрайзе, сейчас на стандарте, как я понял ей по-барабану...wea
Цитата:
Угу, пришлось отказаться от TrafficQuot
Цитата:
Поставил сейчас TrafficQuot-y , и стал очень жутко тормозить Инет
Угу, пришлось отказаться от TrafficQuot
BadGuy
Цитата:
спасибо за наводку попробую покопаться
ilion
Цитата:
А в пользу чего? не без лимита же пользователей оставлять !
Цитата:
Вроде dns-запросы разрешил всем без авторизации
спасибо за наводку попробую покопаться
ilion
Цитата:
Угу, пришлось отказаться от TrafficQuot
А в пользу чего? не без лимита же пользователей оставлять
!PRiM
Цитата:
У тебя в интернет смотрят сервера в офисе и на филиале. На обоих включаешь Routing and Remote Access Service и добавляешь в каждый по Demand Dial Interface. Настраиваешь их таким образом, чтобы 1 принимал входящие подключения, а второй подключался, при этом на том, который подключается в настройках указываешь подключаться при запросе. Если что, пиши в ПМ
Цитата:
NEED
Цитата:VPN настроен неправильно. Нужно не входящее подключение регистрировать, а через RRAS Demand Dial Interface
Я RRAS настраивал через ISA. Может ссылку подкинешь или подскажешь, как исправить?
Добавлено:
Проблема следующего характера.
Есть главный офис 192.168.О.0 домен Win2003EESP1+ISA2004EE, есть ADSL
Есть филиал 192.168.Ф.0 WinXPProSP1+ICS, есть ADSL
В ISA я настроил входящие VPN соединения 192.168.В.0
При включении VPN в филиале (для подключения к офису) с галочкой "Использовать основной шлюз локальной сети" происходит соединение с офисом и сразу пропадает Интернет в филиале, но компы офиса видны.
При включении VPN в филиале со снятой галочкой, происходит соединение с офисом, Интернет не пропадает, но и компьютеры офиса не видны.
Чтобы и Инет работал и компы офиса были видны, приходится прописывать на VPN клиенте:
route add 192.168.О.0 mask 255.255.255.0 192.168.В.1 IF 0хY000Z
Можно решить проблему другим способом?
У тебя в интернет смотрят сервера в офисе и на филиале. На обоих включаешь Routing and Remote Access Service и добавляешь в каждый по Demand Dial Interface. Настраиваешь их таким образом, чтобы 1 принимал входящие подключения, а второй подключался, при этом на том, который подключается в настройках указываешь подключаться при запросе. Если что, пиши в ПМ
NEED
Честно говоря я в маршрутизации не очень разбираюсь.
Поставил я в филиале также ИСА 2004ЕЕ на рабочую группу. Теперь вот опять в ВПН мучаюсь, чтобы объеденить офис и филиал.
Честно говоря я в маршрутизации не очень разбираюсь.
Поставил я в филиале также ИСА 2004ЕЕ на рабочую группу. Теперь вот опять в ВПН мучаюсь, чтобы объеденить офис и филиал.
Народ, как узнать, какая версия ISA установлена, 2000 или 2004, SE или EE ?
Bebson
правой педалью на сервере соот в консоли - свойства
правой педалью на сервере соот в консоли - свойства
Действительно, там написано, какая редакция. Вроде смотрел, да просмотрел.
А вот 2000 или 2004, не указано. Впрочем, это лечится просмотром логотипа в справке.
А вот 2000 или 2004, не указано. Впрочем, это лечится просмотром логотипа в справке.
Страницы: 12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152535455565758596061626364656667686970
Предыдущая тема: Всё о DNS
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.