» MS ISA Server (часть 1)

Borgia

Я уже там искал. Там, как и в доках, птшется что-то типа:

The FPCTunnelPortRange object provides access to the tunnel port range.

A tunnel port allows ISA to work as a data pump for communication to particular ports on an external server. Because this effectively bypasses ISA protocol rules, the external port ranges for which this is possible are set by default to 443–443; that is, the single port 443 (SSL), and to 563–563, the single port 563 (NNTP). You can use the FPCTunnelPortRange object to change the port range in which a tunnel port can be created.

The following VBScript is an example of how to add ports to the tunnel port range.

set isa=CreateObject("FPC.Root")
set tprange=isa.Arrays.GetContainingArray.ArrayPolicy.WebProxy.TunnelPortRanges
set tmp=tprange.AddRange("SSL 3520", 3520, 3520)
set tmp=tprange.AddRange("SSL 3529", 3529, 3529)
tprange.Save

Но, боюсь, скрипты мне пока не осилить ;-(

Посмотри еще здесь есть уже множество готовых криптов.


Всякие приблуды для исы
http://www.toolzz.com/ISAToolzz.htm
http://www.isatools.org/


Добавлено
ЕСТЬ наприер такой

SSL_TPR_add.vbs
15/8/2002 1.0
Jim Harrison
1 kb/ 1 min Adds SSL tunnel ports to ISA for non-standard SSL connections

Borgia

Спасибо Тебе огромное!
Инфы много, буду разбираться.

подскажите если кто в курсе - к ИСЕ есть какой-либо адд-он, позволяющий ограничивать (устанавливать) ширину канала для каждого пользователя?

--------------------------------------------------------------------------------
tatian

незачто если надеш что то подходящие буду рад.
РS. Если решиш проблему запости сюда решение если не трудно.


Цитата:

mhs

насчет

Цитата:

позволяющий ограничивать (устанавливать) ширину канала для каждого пользователя

нескажу а вот ограничивание скачивание по обьему причем по дню или недели есть вспомню название запощу сюда .

mhs

Зачем тебе адд-он?
В ISA Server есть штатные средства: Bandwith Rules
С помощью этих правил можно разделить приоритет потребления полосы как по пользователям (группам пользователей) так и по виду трафика (конетнта) или по группам сайтов, по протоколам, по времени.
Правда там можно выделить лишь долю из общего полосы, лучше всего выделять такие доли не для пользователей , а для группы пользователей. Если в данный момент времени в ИНЕТе работают все группы имеющие свою долю, то баланс осуществляется справедливо согласно установленного веса для каждой группы... , в случае когда какая-нибудь группа в данный момент не работает выделяемая ширина перерасчитывается без учета этой группы на все оставшиеся группы, они получают полосу пропорцианально установленному весу (короче полоса у всех оставшихся в онлайне групп пропорцианально весу увеличится).

Такая система, в принципе, удобна хотя и не позволяет с точностью до цифры выделить пропускную способность канала для каждого пользователя. Внутри организации лучше пользоваться ей...

ZeleniyNET
Я так подозреваю, что чего-то Вы все-таки перемудрили при установке ISA.... Опишите подробно все фильтры, ставили ли Вы какие - нить надстройки на ISA, типа антивирей, фильтров контента?? И еще сколько пользователей сидит на ISA?? А может просто посмотреть какой процесс жрет больше всего процессорного времени....
А сетевой принтер подключен к ISA??? или может ISA занимается его управлением???

Valrom

Цитата:

  В ISA Server есть штатные средства: Bandwith Rules

ну в общем хотелось бы реал-тайм назначать полосу, по типу UserGate..., сам этот юзергейт не подходит из-за приколов с прописыванием почтовых аккаунтов..

2 ALL

Помогите плз...
сервак 2K с AD, ISA, Exschange2000....
проблемы следующие - ....

1. этот форум перестаёт открываться через некоторое время.... выдаёт ошибку 502 про большой заголовок... убиваешь кукис, заново регишся на форуме ок... на некоторое время......
2. проблемы с Exschange .... почта из вне сервером принимается но отправить через сервак ничё не могу.... упал сервис POP3 на Exschange..... не поднимается...

просьба всех кто сталкивался с такими проблемами помогите... или меня начальство

Может кто знает. Настроено VPN соединение между двумя офисами компании (через мастер ISA). В одном офисе есть клиент (прога, выполняющая спец. функции), который активно загружает канал в интернет. Этому клиенту прописано правило, чтобы у него был минимальный приоритет (200). Но траффик VPN как будто не учавствует при "дележке" канала. Т. е. когда клиент с приоритетом 200 что-то качает, то связь через VPN близка к нулю. Как прописать соединению VPN максимальный приоритет?

Добавлено
Как настроить выход в интернет с машины, на которой установлен ISA? Я читал в книге, что есть два решения.
1. Создать правила для IP фильтров, открыв порты для http, ftp и пр.
2. Настоить этот компьютер как WebClient, т.е. чтобы он выходил как клиенты на других машинах.
Первый вариант там признан как плохой, так как открывать порты не хорошо. + из личного опыта, для всех типов соединений надо создавать правила (https) и если доступ к сайту осуществляется по нестандартным портам (не 80), то также надо отдельное правило. + ICQ постоянно обрывается, так как ISA периодически закрывает порты, по которым долгое время ничего не передавалось.
Второй вариант мне кажется лучше, но я не знаю как его настроить. Простая установка FireWall'а для клиентов приводит к плохому результату.

Цитата:

IvHarbor

устналивать клиента на сервер с иой катгорически нерекомендуется.(запрещется)

взято с Интерактивный FAQ по ISA - форум на WinFAQ.com.ru смотри шапку топика

Компьютер, на котором установлен ИСА Сервер не может работать в Интернете.
A. Для того, чтобы можно было работать в Интернете непосредственно с компьютера на котором установлен сам ISA Ceрвер, необходимо создать новый Packet Filter в
Access Policy->IP Packets Filters.
Настройки фильтра:
Вкладка General - на ваше усмотрение
Вкладка Filter Type
Use this filter:
Включить Custom и настроить
IP Protokol->TCP
Direction->Both
Local port->Dynamic
Local Port number->
Remote Port->Fixed port
Remote port number->80
Вкладка Local Computer
This filter applies to:
Включить Default IP Address(es) on the external interface
Вкладка Remote Computer
This filter applies to:
Включить All remote computers


смотри что написал Valrom

В ISA Server есть штатные средства: Bandwith Rules
С помощью этих правил можно разделить приоритет потребления полосы как по пользователям (группам пользователей) так и по виду трафика (конетнта) или по группам сайтов, по протоколам, по времени

Добавлено
LAZ
ISA + Exchange

http://www.microsoft.com/isaserver/techinfo/deployment/ISAnExch.doc

Borgia
Про фильтры: у меня сейчас так и сделано, но существуют проблемы. 1. Для сайтов с нестандартным портом нужно создавать отдельный фильтр. 2. Есть проблемы с просмотром содержимого папок на FTP (видимо не все учел в правиле). 2. HTTPS надо настраивать отдельно (не знаю параметров). ICQ постоянно отключается от сети (видимо ISA закрывает долго не используемые порты).
Про Bandwith Rules написал же, знаю. Но VPN не является пользователем. Контент его выделить нельзя. С протоколом? VPN вроде не протокол, он просто открыл порты PPTP.

Цитата:

IvHarbor

Цитата:

Для сайтов с нестандартным портом нужно создавать отдельный фильтр. 2. Есть проблемы с просмотром содержимого папок на FTP (видимо не все учел в правиле). 2. HTTPS надо настраивать отдельно (не знаю параметров). ICQ постоянно отключается от сети (видимо ISA закрывает долго не используемые порты).

Я так понял что все это идет разговор о Компьютере, на котором установлен ИСА Сервер.
или нет.


Цитата:

. Для сайтов с нестандартным портом нужно создавать отдельный фильтр.

ну скорее всего или используй вариант первый. Впринципе Компьютер, на котором установлен ИСА Сервер не особенно предназначенн для полноценного гуляния по интернету тоесть сделать можно но в ущерб безопаности. Я не думаю что здесь прокатит .. овцы целы и волки сыты....



Цитата:

. Есть проблемы с просмотром содержимого папок на FTP (видимо не все учел в правиле).

поподробнее если можно.

Borgia

Цитата:

Добавлено
LAZ
ISA + Exchange

http://www.microsoft.com/isaserver/techinfo/deployment/ISAnExch.doc

сенкс... этот документ у мня есть... но мне каца что в нем не всё описали.... у мня всё разаботало.. (кроме виртуального POP3 сервера )
более точные настройки проверю и выложу.. попозже...

Borgia
ФТП заработол. Меня больше беспокоит как сделать чтобы ася не разрывалась. Проблема именно на сервере с исой, у клиентов все в порядке. Не дают мне выделенный сервер, на нем приходится еще и работать.

IvHarbor
У асе есть такая галочка "сохранять соединение".... поставь ее и усе...

IvHarbor

Если честно то асей никогда не пользовался- восновном MSN messenger.

Галочка в настройках стоит, но это не помогает.
Асей я не по собственной воле пользуюсь, по работе надо. А так я всегда в пользу MS склоняюсь.

Всем привет.
Воросик можно?
Кто знает? ISA в режиме файервола, мониторит два интерфеса (с учетом того что в машине только 2 сет. интерфейса) на обнаружение атак, тобишь со стороны "мира" и локалки" или только со стороны "мира" ?

looney

А это как выстроишь свою таблицу LAT, .. Вона случайно добавил в нее ИП с внешнего интерфейса,. Дык она ничего фильровать не хотела,. А фильтрует она в обе стороны,.

И мониторит атаку она только с того адреса кого укажешь внешним, в идеале ИМХО мона построить фильтры так что б она ловила как изнутри, так и снаружи,. Но все равно - тебе прийдеться кого-то указывать клиентом,.

А выстроить сервер на защиту от локальной сети - сложно и гиморно,. Но задача интерестная,.

UNKNOWING


Ну просек то идею.
Сенкс за хелп.
Ну тогда можна немного поморочиться, хотя так красиво настроить мониторить в обе стороны наверно не получиться.

Гы,.

Чего не получится? Если приследуешь какие-то свои цели, то напиши скрипт для анализа логов,. Лога файрволла для мониторинга поключений клиентов, лога IP Filter для дроп пакетов,.
Монаконтролировать соединение аськи, ирки, АИМа,. Млин,. Чего угодно,. Ну еще + ISA SDK,.

ИМХО только если тебе так удобнее,. Есть куча плагинов сторонних произвоителей анализирующих логи,. Тот же GFI Web Monitor,. НО это все под твои личные задачи и потребности,. ИМХО написать легче, приятней (когда работать будет),.. Ну не люблю когда на сервере стоит сторонний софт, любой,.

Итог: ИСА мощный, удобный, маштабируемый и простой инструментарий для обеспечения безопасности на софтовом уровне,.

UNKNOWING

Будем строить.
"Через 4 года, здесь будет город сад".

Цитата:

Пипл подскажите никто не сталкивался с такой проблемой? при попытке подключить сервер с ИСА к консоли управления ИСА на удаленном компьютере выдает следующую ошибку:
you do not have the necessary permissions to perform this action. Failed to connect! На сервере пользователь прописан как Администратор. не подскажете что подкрутить что-бы подключить всет-ки консоль?

возникла такая же трабла... как быть? подозреваю, что какой-то сервис не запущен...

ЗЫ а как putty заставить работать через ису?

Народ подскажите плиз!!!
Имеетс ИСА с 2 интерфейсами один смотрит в локалку один с прямым внешним айпишником на адсл. Иса стоит в смешанном режиме и стандалоном на сервере загнанном в домен... доступ открыт для всех ... кароче получается такая фигня ..если вбиваем адрес прокси на клиентской тачке и лезем по какому нить адресу типа www.rbc.ru то иса возвращает ответ с ошибкой типа иса сервер не может разрешить айпишник по имени ....вот если лесть по айпи напрямую то все работает... вот!
Допустим если вбиваем в браузер на сервере на котором установлена сама иса адрес прокси иса то все работает замечательно.
Вопрос ...почему иса не может разрешить днс имена ????

gen12

Цитата:

то иса возвращает ответ с ошибкой типа иса сервер не может разрешить айпишник по имени ....вот если лесть по айпи напрямую то все работает... вот!

сам же решение пишешь - dns у тя не резолвит... открой его...

тоесть открыть ???? на внешнем интерфейсе настроин внешний провайдеровский днс сервер.... надо в исе в закладке ip filtering настроить правило ?

gen12

Цитата:

надо в исе в закладке ip filtering настроить правило ?

вариант - надо открыть днс наружу в ip filtering, а у клиентов проставить днс - ису.

Только вот как то непонятно опять .... в данный момент у клиентов днс уде стоит как адресс контроллера домена с AD, соответственно на этом днсе прямая зона точка т.к. он локальный, менять днс на ису как то нехочется , а насколько я понимаю клиенты та не причем это сам иса не может разрешить имя днс т.к. клиенту иса возвращает ошибку о том что он не смог разрешить имя ...вот

gen12

(Я так понимаю у тебя SNAT клиенты так ведут себя?)
Надо правильно сконфигурить DNS сервер, что бы он форвардил запросы на провайдерские DNS. Если твой DNS настроен как корневой, то эта закладка в его свойствах не доступна. Сделай магический пас - удали ".", закладка станет доступна - вот и пропиши туда DNS прова. Дальше разберешься. Потом netdiag и dcdiag. Вобще вопросу по настройке днс - огромная тема не хоботе посвящена.