» MS ISA Server (часть 1)

вопрос
у кого-нибудь есть пример правила для p2p сетей ? конкретно - интересует Torrent и eMule ?

sattan
Для осла нужно порт какойто на прием открывать. Тогда работает. На Торрент скорее всего тоже.

Tabu13

С правилами тоже какие-то заморочки, непросто делается. Но суть моего вопроса другая - хотелось бы полноценных клиентских функций, а их, похоже, в 2004 исе НЕТУ.

Application-level фичи клиента в зачаточном состоянии, и решения пока не видно.

Меня опять кинто не понял! Мне надо чтобы на моем сервере было 2 шлюза!
Первая сетевуха - мир, интернет имеет свой шлюз,ИП и максу ланные провайдером!
Вторая сетевуха - локака! НЕ реальный ИП но выдан сетевым провайдером, имеет ИП, маску и свой отдельныййй шлюз!
Мне Надо чтобы сервак был в интернете и в этоо же время видел ВСЕ локальные сети поего провайдера!
Шлюз моего локального провайдера это комп к которому подключена радио антена и через неё мы видим все сети этой же компании!
ТОесть надо чтобы на сервере просто работало 2 разных глюза на разных сетевухах одновременно! А ИСА у меня 2004 стандарт!

Установил ISA Server 2004.
Контроллер домена и DNS на другом компьютере.
в свойствах IP для сетевой внутренней сети
Preffered DNS server указал адрес внутреннего
интерфейса на DC.
В ISA создал разрешающее правило для протоколов.
В результате с компьтера, где стоит ISA пинги на
внешние хосты не идут.
При попытке открыть какой нибудь сайт получаю сообщение
Host not found 11001.
Как победить проблему?

XZNIK
На каждой сетевухе пропиши ДНС из ее сети: на внешней - ДНС прова, на внутренней - свой внутренний ДНС (например контроллер домена). 2 шлюза одновременно работать не будет - это факт. Шлюз по умолчанию только 1. Все остальное прописывается через команду route

Aladdinych
Какие настройки на внешней сетевухе ИСА?

Так вот говорят что через ИСУ канает 2 шлюза! Подскажи ккак!

XZNIK
Через ису 2 шлюза не канает. Иса просто умеет работать с несколькими поставщиками услуг. А это разные вещи.

ip и mask как положено
шлюз тот же самый ip. DNS не указан
Раньше с такими же настройками DC через NAT все работало

вопрос
обязательно ли ставить Microsoft Firewall Client Management консоль на локальных машинах ? а то я поставил и как-то прикольно - врубаю - аська перестаёт конектить и почта приниматься - хттп трафик ходит. вырубаю - аська и почта работают

это у меня на ИСЕ правила не правильно настроены ?

з.ы. и ещё - никак не могу в 2004 ИСЕ найти где создаются сеты для списков баннерных и им подобным сайтом для блока

хелп

sattan

Цитата:

обязательно ли ставить Microsoft Firewall Client Management консоль на локальных машинах

нет, не обязательно. Но тогда авторизация будет либо только по ip или через прокс (только для http\s)
Цитата:

это у меня на ИСЕ правила не правильно настроены ?

да
Цитата:

и ещё - никак не могу в 2004 ИСЕ найти где создаются сеты для списков баннерных и им подобным сайтом для блока

открываешь консльм mmc сервера. жмёшь на firewall policy - и там справа в окне Toolbox увидишь "networks object"

Aladdinych

Цитата:

шлюз тот же самый ip. DNS не указан

А вот это вкорне неправильно. Шлюз и IP не должны быть одинаковыми.

Добавлено:
greenfox

Цитата:

авторизация будет либо только по ip или через прокс

Это ты не прав. Есть еще такая фишка, как Integrated securuty. Так вот она работает и без MFC

greenfox

Цитата:

нет, не обязательно. Но тогда авторизация будет либо только по ip или через прокс

не мог зайти клиентом qip для аськи - прописал в настройках ИСЫ там где firewall client прописывается и заработало.

по сетам не понял. у меня 2004 и вот этого

Цитата:

открываешь консльм mmc сервера. жмёшь на firewall policy - и там справа в окне Toolbox увидишь "networks object"

там есть Access Rule и прочее

з.ы. это получается что - мне весь не стандартный софт придётся настраивать через FWC ??

XZNIK

Цитата:

Меня опять кинто не понял! Мне надо чтобы на моем сервере было 2 шлюза!
Первая сетевуха - мир, интернет имеет свой шлюз,ИП и максу ланные провайдером!
Вторая сетевуха - локака! НЕ реальный ИП но выдан сетевым провайдером, имеет ИП, маску и свой отдельныййй шлюз!
Мне Надо чтобы сервак был в интернете и в этоо же время видел ВСЕ локальные сети поего провайдера!
Шлюз моего локального провайдера это комп к которому подключена радио антена и через неё мы видим все сети этой же компании!
ТОесть надо чтобы на сервере просто работало 2 разных глюза на разных сетевухах одновременно! А ИСА у меня 2004 стандарт!

бред какой то, зачем тебе два маршрута по умолчанию? вообще ты в курсе что такой маршрут по умолчанию ("шлюз") ? это адрес куда кидается все для чего не нашлось записи в табице маршрутизации, и такой маршрут может быть тока один. в твоем случае просто напиши route add -p <локальная сеть провайдера> mask <маска сети> <"свой отдельныййй шлюз"> и так для каждой локальной сети твоего провайдера. то есть этим самым ты скажешь исе (да вообще всему компу, иса своей таблицы маршрутизации не имеет она смотрит что у тебя в винде написано) ходить в сети провайдера через этот самый отдельный шлюз, а во все остальные сети ("мир") будет ходить через шлюз который ты на внешнем интерфейсе укажешь. на внутреннем ничего указывать не надо. Ну конечно чтобы иса еще кидала все пакеты как надо укажи все эти локальные сети в ее Network связанный с твоей локальной сетевухой (обычно это Internal)

sattan

Цитата:

там есть Access Rule и прочее

справа есть такое окно, если его нет там рамочка голубого цвета справо и стрелочка - нажми её и будет чудо




NEED

Цитата:

Это ты не прав. Есть еще такая фишка, как Integrated securuty. Так вот она работает и без MFC

каким образом!? Если не стоит FWC кто будет авторизовать трафик скажем e-mula !? Именно FWC посылает кредентиалсы всместе с пакетами... система сама этого не может... Всё afaik.

Из справки:

Странно, но для NAT все проходило
а какой же шлюз указывать?
На клиентских машинах я ничего не ставил
Это правильно?

greenfox
А его не пропустит, поскольку он просто не сможет авторизироваться. Включаем Basic авторизацию на прокси, в свойствах подключения через проксю указываем логин и пароль из домена. И все в шеколаде.

И еще добавлю - MFC вообще-то в большинстве случаем нужен для того, чтобы приложения, которые не умеют авторизироваться, могли это сделать. Ну и еще для того, чтобы облегчить работу нам, админам. Или усложнить, смотря как посмотреть.

NEED

Цитата:

А его не пропустит, поскольку он просто не сможет авторизироваться. Включаем Basic авторизацию на прокси, в свойствах подключения через проксю указываем логин и пароль из домена. И все в шеколаде

чего чего!? Кого его!? Авторизация на прокси - это авторизация web-proxy клиента - его мы не рассматриваем ибо я вверху написал
Цитата:

Но тогда авторизация будет либо только по ip или через прокс (только для http\s)

Т.е. то что http\https geotys` через прокс сможет авторизоваться и ежу понятно - мы говорим о других протоколах (всё что идёт через s-nat клиента) - вот они то милые без FWC авторизоваться и не смогут (за искл впн) - см.табл.выше
Цитата:

И еще добавлю - MFC вообще-то в большинстве случаем нужен для того, чтобы приложения, которые не умеют авторизироваться, могли это сделать

и!? А о чём и речь!? Да и как приложение авторизуется акромя как через прокс или сокс какой-н!? никак - вот тут и нужен FWC. О чём спор тогда? К чему фразы типа
Цитата:

Это ты не прав. Есть еще такая фишка, как Integrated securuty. Так вот она работает и без MFC

!?!?!?

вопрос - а кто каким надстройками пользуется для ИСЫ 2004 ?

sattan
если логи считать и красиво оформлять - то это

Цитата:

бред какой то, зачем тебе два маршрута по умолчанию?

Такая поддерживается только в Traаfiс Inspector - и там реально работает. (там реально маршрутами на сервере рулит спец. драйвер) То есть в ISA это и впрямь невозможно.

Всем доброго времени суток.

Есть ИСА 2004

Вопрос:

1)Как определённым пользователям запретить качать mp3, etc ?
2)Блокировать доступ к сайтам по словам ... к примеру чат ...


Заранее всем спасибо за ответы.

angelweb
1. либо по расширению либо по контент тайпу (глючно)
2. сигнатурами

greenfox

а разве в сигнатуры можно запихнуть расширения или слова "чат" ?

angelweb

Цитата:

а разве в сигнатуры можно запихнуть расширения или слова "чат"

http://www.microsoft.com/technet/prodtechnol/isa/2004/plan/httpfiltering.mspx

greenfox

Цитата:

если логи считать

мы тоже этим я просто думал что есть красивее что-либо

angelweb

Цитата:

Есть ИСА 2004

Вопрос:

http://www.isastuff.mine.nu/

Народ ну помогите с ВПН! Всем отвечают а мне нет! Надо чтобы юзеры конектились к серваку по ВПН и работале в нете! На серваке инет тоже по ВПН! Стоит иса2004 и вин 2003сервер!

XZNIK
значит вопросы плохо задаешь

1) коннект до сервака есть? если есть то стоит ли галка "использовать как шлюз по умолчанию"?
2) на исе VPN клиентам создать сетей правило (хотя оно уже должно быть): VPN Client -> External = NAT!
3) прописать полиси: Allow -> VPN Clients -> External

Если эта схема не работает то врубаешь логирование трафа и внимательно смотришь причины отказа

Все стоит кроме 1) коннект до сервака есть? если есть то стоит ли галка "использовать как шлюз по умолчанию"?
!
Что это такое и где поставить!

Цитата:

Что это такое и где поставить!

свойства ВПН соединения -> Networking -> TCP-IP -> advanced -> там увидишь