» MS ISA Server (часть 1)

sattan
пропишив настройках исы в интернал обе подсети - у меня так и сделано 192.168.1.x - 192.168.6.x
правда она в эвентере всё время ошибки пишет по типу "обнаружен маршрут_что-то там" - но всё работает и трафик между этими сетями идёт напрямую, fwc его не трогает...

greenfox

Цитата:

пропишив настройках исы в интернал обе подсети

то есть - если у меня - к примеру - 3 локальные подсетки - в одной из них стоит ИСА. и для того чтобы по этим локалкам - НЕ выходя в Инет - нормально шариться без того, чтобы FWC и ИСА была не при чём - мне надо в ИСЕ в Networks Internal указать эти подсетки ?

Добавлено:
нашёл статейку - по моему - кому-то надо было что-то подобное


Цитата:

Хотите настроить двустороннюю поддержку служб межсетевой балансировки NLB для Вашего ISA брандмауэра версии Standard Edition? В этой задаче есть потенциальные проблемы, но если Вы все-таки решились, данная статья расскажет, как это делается.

http://www.internetaccessmonitor.ru/rus/products/articles/Enabling_NLB_Bi-Directional_Affinity_(BDI)_on_ISA_Server_2004_Standard_Edition_Firewalls/Enabling_NLB_Bi-Directional_Affinity_(BDI)_on_ISA_Server_2004_Standard_Edition_Firewalls.php

з.ы. да и вообще - неплохая подборочка статеек по ИСЕ на русском языке.

sattan

Цитата:

о есть - если у меня - к примеру - 3 локальные подсетки - в одной из них стоит ИСА

для того что бы чётко ответить на этот вопрос надо бы тебе топологию рассказать, а то пойди домедитируй как у тя там эти подсети с Исой соотносяться... Тут телепатов нет.
Если подсети (все 3) находяться за исой и используют её как шлюз в инет - то сделай мой вариант. Или описывай как чего куда у тя там настроено, какие где гейты и т.д.

Ситуация:
логи пишутся на винт в виде обычных файлов в формате W3C, используются сторонние анализаторы, траф считается, всё хорошо, используется WebSpy Analyzer Giga. НО! Как только дело доходит до подсчета времени которое провело то или иное приложение в Сети по определенному протоколу - ВСЁ! Вебспай сразу начинает выдавать такую ерунду! Писались бы логи в SQL - я бы написал свой анализатор. А так...

Вопрос:
какими средствами вообще можно подсчитать нужные мне данные?

kitty05

Цитата:

Писались бы логи в SQL - я бы написал свой анализатор. А так...

а что те мешает настроить логирование в SQL?

Вопрос к уважаемой общественности: какие правила необходимо прописать, для того чтобы одна из NIC ISA 2004 подхватывала DHCP-address, выданный автоматически сервером в подсети, к которой подключена эта NIC? У меня упорно говорит Access Denied в мониторе, после отработки правила, разрешающего ходить DHCP (reply) из этой подсети, но следующая запись в логе говорит Access Denied без указания, кто отбил

Доброго времени суток!
Есть ISA 2004 SE на W2K3SE
На нем две сетевые карты одна смотрит в Инет другая в локалку.
Настроен кэширующий DNS.
На локалке Домен, DC, AD, DNS, DHCP. Рабочие станции XP и W2K, сеть 192.168.1.х
На ISA включен Basic и Integrated, контроль осуществляется по именам учеток.

Есть еще другие ведомственные сети их порядка тридцати, в каждой сети свои домены своя структура имен и т.д. и т.п. Каждой сети некоторым станциям нужно дать доступ в Инет. Маршрутизация настроена так чтоб клиенты из этих сеток видели внутреннюю карту на ИСЕ. Чтоб не заморачиватся доверит и прочими отношениями контроль доступа нужно осуществить по IP адресам.

Как настроит ИСУ чтоб был контроль и по именам учеток для локальной сетки и по IP адресам других сеток.

AlbertS

Цитата:

Как настроит ИСУ чтоб был контроль и по именам учеток для локальной сетки и по IP адресам других сеток.

открыть первыми правилами выход в инет по ip для соотвт тачек, а посл по именам из ад для соот юзверей. Если я тебя прав понял.

greenfox
Спасибо!!! А я тут почти целый день парился
Еще один вопрос, есть правило доступа к группе сайтов и денайд с перенаправлением на страничку внутреннего ИИС веб сервера. Так вот для клиентов из другой (не локальной) сетки страничка не отображается. Как разобраться.

А интересно MS ISA Server ставится на SWIFT?

AlbertS

Цитата:

Так вот для клиентов из другой (не локальной) сетки страничка не отображается. Как разобраться.

внешнии клиенты это как? Они в какую подсеть входят - в External!? Доступ в правилах файера к твоему вэб-серверу у них есть!? Что лиги кажут (мониторин-логининг)!?

А можно ли в ИСА2000 открыть сразу пачку портов, например для skype желательно открыть много портов. Как это сделать не заводя кучу новых протоколов в Protocol Definition?

KDSKDS
Про ISA2000 не знаю, но в ISA 2004 в определении протокола указывается Port Range.

Многоуважаемый ALL!
Спомогите пожалйста! Имеем:
Windows 2003 (SP!) ISA 2004 EE
Нужно решить такую проблему:
Есть:
Одна локальная сеть 90.0.Х.Х mask 255.255.255.0(не виноватый я, так уж повелось, локальная сеть имеет ТАКИЕ адреса), на ней стоит Циска (шлюз в Московскую сеть) (адрес 90.Х.Х.220)
В этой же сети, стоит ISA 2004 EE. (90.x.x.10 внутренний адрес и 62.х.х.х внешний)
вопрос в чем, программа (дилинговая) должна через Циску получить доступ к московской сети, в частности к адресу 10.1.X.3)

делаю на машине с ISA:
route add 10.0.0.0 mask 255.0.0.0 90.x.x.220 -p

В самой ISA 2004 EE создаю новую подсеть с московским адресом (10.1.Х.3), создал Network Rules - route из интернал сети на вновь созданую сеть. В фаервал полиси создал правило: по определенному порту разрешено из Интернал в новую сеть. НЕ РАБОТАЕТ!
в логах:
инициализирует соединение, потом - Result code - Unreacheble_adress
ОГРОМНАЯ ПРОСЬБА - помогите, ГДЕ ошибка? Очень нужно.. и горю по времени..

admin911
иса2004 не использует табл маршрутиризации виндовую - у неё своя. Определи сети в нетворкс (config - networks), потом создай между ними отношения (config - network - нетворк рул), затем уже в правиле пропиши какие порты\протоколы открыть и т.д.

greenfox
так ВСЕ это сделал!
создал новую сеть :
1)configuration -> Networks -> Create New Networks rule:
создал сеть с московским айпи
2) configuration -> Networks -> Networks set -> Create New Networks Set
создал сет, включающий московскую сеть
3)onfiguration -> Networks -> Networks Rules Create New Rule
Создаль рулю - из Интернал во вновь созданную сеть - роутинг

Создал соответственно правило в Firewall Policy:
из интернал во вновь созданную сеть по указанному порту - мона.

ТАК НЕ РАБОТАЕТ!
З.Ы. еще вопрос... а КАК ИСЕ указать по какому адресу находится Циска? дело в том, что роутинг то идет на на адрес ИСЫ.. а на другой!

admin911
ты хочешь что бы иса одни пакеты (в инет например из интернал) рутила на один гейт (прова например), а другие пакеты (из интернал в Москву) на другой шлюз (циска)!?

Ну в обчем - да!

admin911
я с таким не заморачивался, но попробуй посмотреть тут, вроде похожие ситуации
http://isaserver.ru/forums/3613/ShowPost.aspx
http://isaserver.ru/forums/2793/ShowPost.aspx
+ что-то такое тут на форуме обсуждали

greenfox

Цитата:

внешнии клиенты это как? Они в какую подсеть входят - в External!? Доступ в правилах файера к твоему вэб-серверу у них есть!? Что лиги кажут (мониторин-логининг)!?

Клиенты то внутренние, только с другой сетки и входят в Internal. Доступ в файере есть.
У меня подозрение что не разрешается имя ИИС сервера т.е. клиенты с другой сетки не знают ... у них то другой домен, DNS уних не знает ИИС. Видно что броузер пытается найти страничку http:\\testa\no_access.htm и не находить в интернете А для внутренних клиентов локальной сетки все нормально пашет. При попытки зайти на недозволенный сайт выходит страничка с внутренней ИИС что нет доступа. Как сделать для внутренних клиентов с другой сетки такое же? Извините за некоторую сумбурность.

AlbertS
попробуй ip прописать... ну либо как ещё открыть внутренн простанство имён для этой твоей недовнутренней сети... наверно както так...

Требуется установить ISA Server 2000 на рабочую станцию админа(т.е. меня P4-2,8/512Mb). Соответственно по умолчанию система меняется с XP на Windows Server. Сервер ISA в сети будет один и дальнейшего увеличения ISA-серверов не предвидиться в ближайшее время. Домен на Windows Server 2000.

Вопросы:
- Можно ли поставить ISA Server 2000 на Windows Server 2003? Какие при этом необходимо совершить действия отличные от установки на Windows Server 2000?
- Если на предыдущий вопрос - ответ - "Да", то чем хуже/лучше ISA Server 2000 на Windows Server 2003 для сети в целом и для админа в частности?
- Чем можно попробовать убедить вышестояших админов (по инструкции которых и поднимается ISA Server 2000) на установку ISA Server 2004? Надо ли это вообще?

greenfox
Все бы хорошо, да это не совсем мой случай!!!
Делов том, что айпи у циски такой же, как во внутренней сети...

SergeyCVS

Цитата:

а что те мешает настроить логирование в SQL?

да собственно нету у меня SQL в организации. ну нету...

kitty05
ну теперь будет! В чём проблема то!?

Добавлено:
admin911

Цитата:

Все бы хорошо, да это не совсем мой случай!!!
Делов том, что айпи у циски такой же, как во внутренней сети

у тебя наружу 2 гейта получается... один через ИСу на прова и далее в инет, второй через циску и на московскую сетку!? У меня примерно такое же реализовано так: аппаратный шлюз прописан у всех ПК как шлюз по умолчанию, но в инет они ходят через ису (через FWC - эта програмули заварачивает трафик и он идёт не на стандартный гейт а на ИСу) а оттуда в инет. Соотв несколько сайтов (наход за железякой-гейтом и соед ipsec) со своими ip включены в интернал и когда FWC видит что обращение идёт к ним (f они в интернал) он трафик не трогает и он идёт прямеком на железный роутер - ну а далее по его табл маршрутир рутиться куда надо...

greenfox
грешно смеяться над несчастным человеком (с)

ну не хочу я ставить SQL ради того чтобы только логи писать в него. Меня интересует решение моей задачи без применения SQL.

Скажите пожалуйста новичку, в ISA можно сделать что-то наподобие биллинга, чтобы пользователи по своему логину и паролю смогли просматривать статистику за определённый отрезок времени, посещённые сайты, кол-во траффика разделённое по сайтам и тому подобное - вобщем хотя-бы половину того, что умеет Traffic Inspector в плане отчётов для пользователей...
Рассылка отчётов не совсем устраивает.

Интеграция SP1 в дистрибутив ISA 2004

msiexec /p "[путь к файлу]\ISA2004-KB891024-X86-ENU.msp" /a "[путь к дистрибутиву ISA2004]\FPC\MS_FPC_Server.msi"

dene14
средствами самой исы - нет. попробуй сторонний софт типа IAM

сказал же... я новайс в ИСЕ, скажи плиз чё таке IAM ?