» MS ISA Server (часть 1)

Lamerok

Цитата:

погоди.. я чет не понял...
что значит "только прокси"?

то есть клиенты никаким раком в инет кроме как через прокси не попадут

Цитата:

fw client нужен как раз для того чтобы аутентификацией заниматься.

IE 6.0 в легкую проходит integrated authentication на прокси (миранда кстати тоже)
а fwclient нужен чтобы аутенфикацию проходили те проги которые не поддерживают integrated либо вообще никакой либо не умеют через прокси ходить (например всякие манагеры закачек в большинстве не пройдут аутенфикацию, или например в игрушки по инету не поиграешь)
а если в IE отключить прокси то конечно без fwclient будет только аноним
поэтому если клиентам ничего кроме web через IE не нужно то и ацсдшуте тоже не нужен
правило у меня для клиентов одно allow http, https,ftp from internal to external for authenticated users
пара машин (админских) работают через fwclient (чтоб не только http юзать) еще пару сервачков на определенные сервера ходят анонимно (WSUS исходящая почта антивирус апдейт и интернет банк клиент) для них отдельные правила

вопрос то как раз не стоит почему deny на anonymous, так и должно быть, вопрос в том откуда в логах береться этот anonymous, а после него уже появляется нормальный юзер, если это специфика работы аутенфикации на прокси тогда ладно, тогда надо искать истинную причину периодических error 502, а если появление этого в логах ненормально, тогда вернулись к началу.
появляется это только когда IE настроен на работу через ПРОКСИ, даже если на этом компе стоит fwclient (в этом случае fwclient не работает, то есть IE сам проходит аутенфикацию без помощи fwclient)

Lamerok
чтоб понятней было приведу кусок monitor->logging
на исе включен прокси слушается 8080 правило web access: allow http,https,ftp from internal to external for authenticated users
на http протоколе включен web proxy filter (при отключении ничего не менялось)
на клиенте стоит fwclient настроенный вручную, в IE 6 вручную настроена прокси на ису
открываем www.ya.ru (проще отследить когда никаких левых баннеров и картинок) и закрываем експрорер
как из исовой ммс скопипастить я не знаю поэтому скриншоты сделал )

вот когда в IE включена прокси (fwclient при этом может быть включен или выключен, все равно одно и тоже) :
http://7ka.mipt.ru/~dnikitin/Proxy.JPG
в третьей строчке в destination ip может быть ип исы (192.168.0.1) значит взято из кэша либо ип www.ya.ru (213.180.204.8) значит не из кэша, все остальное одинаковое в обоих случаях.

теперь отключаем прокси и идем через fwclient (который естественно включен )
http://7ka.mipt.ru/~dnikitin/FWClient.JPG
тут конечно ни о каком кэше речи не идет все ходиться напрямую


Добавлено:
еще кстати фишка, если человек ходит не через прокси а через fwclient то в логах в destination host и в url вместо доменного имени тока ип, меня сами логи то не смущают (так и должно быть) но в этом случае не срабатывают сигнатуры в url (например "http://ad." для блокировки банеров и рекламы), а когда через прокси то все ок

Народ, что-то я не могу понять, почему у меня не работает доступ к серваку через VPN. Стоит Иса 2000 Ентерпрайз со всеми апдейтами, по VPN к компу подключиться можно, но ни один пакет вовнутрь не проходит. Прописал на Исе, что адрес VPN-подсети является локальным в LAT, а оно все-равно никак. Мне присваивается адрес 192.168.253.2, у VPN-сервера адрес 192.168.253.1. В LAT есть запись 192.168.253.0-192.168.253.255.
Куда копать?
Такую конфигурацию настраивал уже не раз и никогда проблем не было. Сервер - Windows Server 2003 SP1, ISA 2000 SP2.

NEED
http://support.microsoft.com/?kbid=897651
говорят, еще помогает замена ipnat.sys на до-сервиспаковый вариант

hardhearted
короче проверил тока что у себя.
fw вклЮчен
в настройках ie стоят настройки прокси.
при обращении на www.ya.ru анонимусов нет. только доменные пользователи в логах.
при отклЮчении в ie настроек прокси, при обращении на www.ya.ru тоже самое что и в первом тесте, т.е. аутентификация работает как полагается.


Цитата:

вопрос в том откуда в логах береться этот anonymous

пока остается открытым...

имхо это какой то плаваЮщий гЛЮк.... пока ничего в голову не приходит , кроме как снести вообще fwclient.....
Правила пересезоздавать пробовал?


Цитата:

если человек ходит не через прокси а через fwclient то в логах в destination host и в url вместо доменного имени тока ип

аналогично.

Lamerok
это правило пересоздавал, таже фишка
fwclient тут не при делах, такое же и с других компов, на которых его нет вообще

Привет подскажите может кто подключал к isa 2000 sql2000.
После подключения появились ошибки 11000 и 11001 и вдобавок немогу убрать некоторые столбцы (ну ненужно мне знать proxyname).
по поводу ошибок сделал как описано в http://support.microsoft.com/default.aspx?scid=kb;ru;836828#XSLTH3132121123120121120120 но эффека непоследовало...

Цитата:

http://support.microsoft.com/?kbid=897651
говорят, еще помогает замена ipnat.sys на до-сервиспаковый вариант

Никто не знает, де можно этот патчик взять, а то в МС обращаться не очень хочется.

rstar1979
столбцы убирать нельзя, isa вообще не сможет писать логи (2004 точно), но можно редизайнить таблицу и скажем уменьшить размер записи с 255 до 1 символа, база станет намного меньше

hardhearted
Так вроде прям в исе можно указать что писать а что нет... в sql оставил как есть
так isa несмотря на то что я явно указал неписать - пишет... причем не все столбцы т.е. некоторые непишет а некоторые пишет... вот. короче хер его.... а насчет редизайнить попробую а то уже 3 гига база это за 2 недели...

rstar1979
фишка в том что если ты кажешь что например писать url не надо то иса все равно в базу отправляет полную инфу, просто вместо url пошлет пустую строку которая в базе будет как 2048 пробелов ) и поэтому если иса отправляя полную строку (некоторые столбцы которой пустые) обнаружит в в таблице некоторых столбцов нет то она сообщит об ошибке записи в лог и успешно зашатданит файрвол и заблокирует весь трафик (поведение по умолчанию)
насчет редизайна, будь поосторожней, я после редизайна столкнулся с ошибкой в логах
The Microsoft Firewall failed to log information to ODBC Data Source fwlogs, Table: FirewallLog, under User Name []. The ODBC Error description is: [State=01004][Error=0][Microsoft][ODBC SQL Server Driver]Fractional truncation [State=22001][Error=8152][Microsoft][ODBC SQL Server Driver][SQL Server]String or binary data would be truncated. [State=01000][Error=3621][Microsoft][ODBC SQL Server Driver][SQL Server]The statement has been terminated. .
которая повторяется постоянно (раз в полчаса-час) как с файрвол так и с прокси логами, и из за этого (кажеться) иса впадает на 2-3 мин в ступор (в инет не пускает выдает еррор 502 инкорект параметр 87). Из-за редизайна это или нет еще не выяснил, поэтому если ты у себя такое обнаружишь то верни дизайн базы и сообще в форуме.

Цитата:

а то уже 3 гига база это за 2 недели...

у меня за 2.5 недели после редизайна (который уменьшил базу в 3-4 раза) уже 8.5 гига
кстати огранич размер логов базы (LDF файлов) есть мнение что журнал транзакций большим держать в случае исы нет необходимости, а он разрастается большим

hardhearted
ок буду пробовать спасибо!!

Такая проблема.
Стоит ISA EE 2004, требование аунтификации.
А WSUS на сайт микрософа для скачивания апдейтов все время ломиться под АНОНИМУСОМ. Естественно ISA его посылает сразу.
Еще когда прописываю у WSUS в СИНХРОНИЗАЦИИ прокси и юзера с паролем, синхронизация не проходит. С пустыми полями - проходит!
Можно как-нибудь в ИСЕ требовать аунтификацию у отдельных компов, а у других разрешать анонимуса?

PRiM
У меня иса 2000 так вот когда стоит пароль синхронизация проходит, а вот скачивание - нет... а вообще можно указать ходить без пароля с такого-то адреса... ну в 2000 исе так точно

rstar1979
У меня синхронизация проходит без прокси и пароля, а вот скачивание - фиг. Вот меня и интересует как задать заходить под анонимусом с такого-то адреса.

PRiM

Цитата:

Можно как-нибудь в ИСЕ требовать аунтификацию у отдельных компов, а у других разрешать анонимуса?

легко
перед правилами требующими аутенфикацию ставишь правило allow http,https from wsusserver to microsoft for all users
чтобы не гонять трафик через прокси проще будет сделать nat для этого сервака
у меня например так и сделано севрваку разрешен анонимный доступ по ftp http https на скачивание апдейтов с микрософта и симантека и сделано правило нат этого сервака на эти сайты. естественно когда ходишь через нат нет смысла использовать прокси.

hardhearted
У меня и так стоит for all users на всех правилах.
А в свойствах Web Filter стоит требовать аунтификацию!

Добавлено:
А как сделать NAT ? Я вроде шлюз прописал.

кто подскажет как резать поля в логах исы
фишка такая что иса посылает в логи поле url длинной 2048 символов (типа если какой нить идиот наберет в яндексе длинную строку поиска да еще на русском) и все ок, то есть она режет более длинные строки сама (в IE такое ограничение, а вот в netscape явных ограничений нет как и в rfc). я решил что мне и такие строки не надо и захотел обрезать (редизайн базы) до скажем 1024, но иса все равно отправляет поле длинной 2048 и если у кого то url будет больше 1024 то sql сервер кидает ису и дисконнектит ее. Вопрос как исе сказать что все url отныне обрезаем до 1024 и посылаем в лог?
(размер базы сраза становиться гораздо меньше, если грамотно редизайнить то в 4-5 раз, да и трафик с исы на sql сервак меньше станет)

Добавлено:
PRiM

Цитата:

А как сделать NAT ? Я вроде шлюз прописал.

опаньки )
в консольки исы configuration->networks->network rules там создаешь новое правило в котором пишешь в source сервак твой в destination адреса откуда качаешь апдейты и говоришь nat (nfv всего два вида правил nat и route)

hardhearted


Цитата:

в консольки исы configuration->networks->network rules там создаешь новое правило в котором пишешь в source сервак твой в destination адреса откуда качаешь апдейты и говоришь nat (nfv всего два вида правил nat и route)

Ты сам пробовал то, о чем говоришь ?

configuration->networks->network rules - это правила для СЕТЕЙ !!!

А если ты требуешь аутентификацию, то доступ будет разрешен только аутент. пользователям, внезависимости от того, что ты там в правилах напишешь.

Можно сделать по другому. Требовать аунт. снять, создать два правила. Одно для серваков (по ip, и для all users), после него второе правило для юзерей (вся лок. сеть и для all auth. users).

MCT
Мне снимать галку никак нельзя, иначе трафик квота трафик юзеров считать не сможет.

Пробовал создать новую сеть с одним единственным серваком, но там надо слишком много новых правил прописать, чтобы заработало все.

Цитата:

Ты сам пробовал то, о чем говоришь ?

я фактически свой конфиг и написал, так что очевидно что не тока пробовал но и использую это

Цитата:

configuration->networks->network rules - это правила для СЕТЕЙ !!!

ГОН!!! чистой воды, там можно указывать networks, network sets, computers, computer sets, subnets, address ranges проверено все работает, можно натить например тока один комп только на указанный ип (например на ftp симантека)

Цитата:

А если ты требуешь аутентификацию, то доступ будет разрешен только аутент. пользователям, внезависимости от того, что ты там в правилах напишешь.

настрока требования аутенфикации относитьтся только(!!!) к web proxy, а я специально указал что если ты натишь то прокси уже не нужна

Цитата:

Можно сделать по другому. Требовать аунт. снять, создать два правила. Одно для серваков (по ip, и для all users), после него второе правило для юзерей (вся лок. сеть и для all auth. users).

а я тоже самое и написал если ты не понял:

Цитата:

перед правилами требующими аутенфикацию ставишь правило allow http,https from wsusserver to microsoft for all users

Добавлено:
PRiM

Цитата:

Мне снимать галку никак нельзя, иначе трафик квота трафик юзеров считать не сможет.

а при чем тут эта галка? эта галка гласит что если юзер не аутенфицировался или не авторизован то выдать ему окошко с авторизацией, у меня галка снята, то есть если юзера не узнали или ему нет доступа то ему сразу денай без вопросов

hardhearted
Без этой галки ТрафикКвота отрубить юзера от инета не могет!

Добавлено:

Цитата:

ГОН!!! чистой воды, там можно указывать networks, network sets, computers, computer sets, subnets, address ranges проверено все работает, можно натить например тока один комп только на указанный ип (например на ftp симантека)

В Configuration\Networks есть только:

New-> Network, Network set, Network Rule, Web Chaining Rule

А все, о чем написал ты, находится в
Firewall Policy

Вы читать внимательно когда нить научитесь?

Цитата:

в консольки исы configuration->networks->network rules там создаешь новое правило в котором пишешь в source сервак твой в destination адреса откуда качаешь апдейты и говоришь nat (nfv всего два вида правил nat и route)

сказано же новое правило (network rule) а в нем в качестве source и destination уже можно указывать те обьекты а которых я говорил


Добавлено:

Цитата:

А все, о чем написал ты, находится в
Firewall Policy

а в firewall policy находяться правила firewall, а не "все о чем я писал"

Добавлено:

Цитата:

Без этой галки ТрафикКвота отрубить юзера от инета не могет!

если натишь сервак и разрешаешь с него ходить all users то это уже secureNAT client, а эти плевать хотели на твою галку с высокой башни, есть она или нет это относиться ТОЛЬКО к прокси

hardhearted

Цитата:

если натишь сервак и разрешаешь с него ходить all users то это уже secureNAT client, а эти плевать хотели на твою галку с высокой башни, есть она или нет это относиться ТОЛЬКО к прокси

Вот я и не пойму, почему если я отрубаю ПРОКСИ и ФАЙРВОЛКЛИЕНТ, а secureNAT у меня для всех тоже настроен. То WSUS все равно лезет через ПРОКСИ. Чушь какая-то.

Хотя сейчас прописал в синхронизации ЮЗВЕРА и ПАРОЛЬ, теперь синхронизация не пашет, а закачка пашет!

PRiM

Не мучайся

Сделай так:

На wsus в свойствах подключения укажи ip,port + имя и пароль учетной записи
А ISA в свойствах внутренней сети, параметры web proxy добавь поддержку "basic" аутентификации.

hardhearted


Цитата:

ГОН!!! чистой воды, там можно указывать networks, network sets, computers, computer sets, subnets, address ranges проверено все работает, можно натить например тока один комп только на указанный ип (например на ftp симантека)

Можно указывать все что угодно. Но это не значит что все будет корректно работать.
В этом случае сервер будет одновременно находится в двух сетях (с разными требованиями авторизации). Ты считаешь это правильным ?


Цитата:

настрока требования аутенфикации относитьтся только(!!!) к web proxy, а я специально указал что если ты натишь то прокси уже не нужна

И еще, независимо от того, какой клиент (Firewall client, SNClient или WebProxy Client), если клиент посылает HTTP запрос, он автоматически считается как WebProxy client.

P.S. Учи матчасть, а не .....
Цитата:

Вы читать внимательно когда нить научитесь?

Кто-то пробовал делать апгрейд ISA2000->ISA2004. Если у кого есть подобный опыт - маякните.

Всем доброго времени суток !

Хочу к исе прикрутить антивирус....

Какой посоветуете?

Интересует производительность, обновления и.т.д

Всем заранее спасибо за ответы.

angelweb
Я ничего стоящего для него так увы и не нашёл... из того что реально достать в сети. GFI DownloadSecurity не очень удобный - почему-то блокировал закачку даже безвирусным файлам, поэтому удалил. А остальное найти практически нереально....

MCT

Цитата:

На wsus в свойствах подключения укажи ip,port + имя и пароль учетной записи
А ISA в свойствах внутренней сети, параметры web proxy добавь поддержку "basic" аутентификации.

Cсамого начала все так и стоит!
Но если прописать ИП, ИМЯ и ПАРОЛЬ, то синх