» MS ISA Server (часть 1)

frolo
Насколько я понял, в твоей конфигурации aська использует ISA Firewall Client, а он, соответсвенно, передает реквизиты залогиненного пользователя на ISA.
Используется просто NTLM аутентификация.
А "обход" прокси зависит от настроек и протоколов.

Эх, еще раз =)

В моей конфигурации следующее - в разделе protocol rules созданны следующие правила - 1. Разрешающее ходить по протоколам 80, 21 и т.д. для пользователей взятых из списка пользователей домена. (через прокси 8080)2. Разрешающее пользователям протоколы 5190 и еще какой-то для пользователей зарегестрированных в client adress sets (policy в isa) - таким образом идет обход прокси...
JcVai Наверное ты прав.., но получается что пользователи идущие через прокси не аутентифицируются вообще никак?

frolo
Гм-м-м...
У тебя получается, что пользователи прокси авторизуются (в частности через ntlm , если используют IE и не выскакивает окошко авторизации при первом заходе на сайт после запуска браузера) (если заблокирован анонимный доступ)
А "Асечники" пропускаются без авторизации просто по IP.

Народ, подскажите где может быть разницаю
Провайдер посчитал 4.77, а ISA 3.26, полтора гига многовато. Где искать ?

JcVai Ну да так и получается.. я в принципе уже разобрался, сенкс. =)

Может конечно и не в тему но тем не менее, стоит ISA 2000 (два сетевых интерфейса - классическая схема - все натится наружу через один IP) решили включить в сетке IPSEC стандартными средствами - включили его в режиме - Для всего трафика IP всегда запрашивает безопасность с помощью доверия Kerberos. Разрешает небезопасную связь с клиентами, которые не отвечают на запрос. Включили на всех машинах.

ВСЕ ЗАШИБИСЬ, шифрование работает на ура (весь трафик как ходил раньше так и ходит), вот только ICQ - не работает. Где копать - в сторону настроек фильтров IPSEC или же в сторону ISA или же все траблы в особенностях работы ICQ которая про IPSEC то и не слышала никогда ?

DKazakov
ISA сам не считает трафик...
Плюс учти, что пров считает трафик, прошедший через ЕГО интерфейс в твою сторону и от тебя, в то время как ISA в логах пишет пропущенное через себя...

Добавлено:
Thinkerroo
Использование протокола IPSec с преобразованием сетевых адресов (NAT) и сервером ISA

Thinkerroo

Цитата:

СЕ ЗАШИБИСЬ, шифрование работает на ура (весь трафик как ходил раньше так и ходит), вот только ICQ - не работает. Где копать - в сторону настроек фильтров IPSEC или же в сторону ISA или же все

Были грабли , если аутентификация идет через домен т.е. с ntlm короче пароль пользователя в домене д.б. не больше 8 ми символов. Есть еще миранда там любой пароль прокатывает , тем более там есть потдержка ntlm , работает только с определнными библиотеками icq.dll
Удачи.

Добавлено:
У меня вопрос к обществености , были ли у вас накладки с трафиком когда пользователь качает файл , а потом отказывается . В логах на него записвается полная закачка. Т.е. полный размер файла. Т.е. допустим ставлю через isa качать скажем образ 700 Мб и на первом Мб отказываюсь а мне в логах зачет на все 700 как быть?

есть isa 2004 и надо заблокировать обмен tcp/ip по куче IP адресов.
вопрос - можно ли isa указать файлик с ними, чтобы каждый отдельно в правилах не прописывать?

yurinb
Есть скрипты которые из текстовиков позволяют делать "Destination Sets".

isascripts.org

ivanopulos
ISA Server 2004 does not use destination sets

netman

Цитата:

У меня вопрос к обществености , были ли у вас накладки с трафиком когда пользователь качает файл , а потом отказывается . В логах на него записвается полная закачка. Т.е. полный размер файла. Т.е. допустим ставлю через isa качать скажем образ 700 Мб и на первом Мб отказываюсь а мне в логах зачет на все 700 как быть?

У меня похоже ситуация как раз обратная - т.е. при отказе от файла в логах вообще нет того трафика, что был реально прокачан. Ты чем отчеты формируешь? ProxyInspextor'ом? Или самой ИСОй? Я PI пока не юзаю, пытаюсь с встроенными отчетами разобраться.

Добавлено:
yurinb

Цитата:

ISA Server 2004 does not use destination sets

Это как? А Computer Sets это что? Computer Set может включать в себя IP адреса, IP ranges и subnets. Кажется, именно то, что нужно человеку.

Asker80
Это была цитата из хелпа на isa 2004.

Computer Set это да, это то что надо. Поскольку готового не нашел, пришлось скачать SDK на ISA 2004 и написать скрипт vbs для добавления IP ranges в Computer Set который использется в блокирующем правиле.

JcVai

Цитата:

ISA сам не считает трафик...

А в отчетах он тогда что пишет, с неба что-ли цифры ставит ?
И чем тогда можно посмотреть траффик, IAM не показывает за прошлый месяц

Цитата:

И чем тогда можно посмотреть траффик, IAM не показывает за прошлый месяц

Прокси Инспектор тебе в помощь)

есть вопрос такой
как в ISA 2004 создать правило, чтобы блокировались входящие соединения на порт 25 причем шла проверка на dns имя входящего соединения чтобы оно не содержало цифр перед первой точкой и слов user и pool

например блокироваться должны компьютеры с именами
pc-38-221-83-200.cm.vtr.net
200141088088.user.veloxzone.com.br
pool-71-98-182-82.tampfl.dsl-w.verizon.net
h211.32.31.71.ip.alltel.net

yurinb


Цитата:

как

средствами исы - никак

DKazakov
В отчетах он обычно чушь и пишет...
(По крайней мере у меня считал постоянно некорректно)


Цитата:

И чем тогда можно посмотреть траффик, IAM не показывает за прошлый месяц

Показывает... Если в него импортировать (были импортированы) логи исы за данный месяц.

JcVai

Цитата:

Показывает... Если в него импортировать (были импортированы) логи исы за данный месяц.

А если они уже в ils файлах упаковались ? Он их не видит

Asker80

Цитата:

У меня похоже ситуация как раз обратная - т.е. при отказе от файла в логах вообще нет того трафика, что был реально прокачан. Ты чем отчеты формируешь? ProxyInspextor'ом? Или самой ИСОй? Я PI пока не юзаю, пытаюсь с встроенными отчетами разобраться.

WebSpy 2.1 ей родимой и ручками логи смотрел иногда

Добавлено:
А кто Trend'овским антивирусом пользуется под isa , называется WebProtect for ISA.
Скажите гуру как отдает этот антивирус файлы сначала в кеш , потом проверить , затем отдать. Или на лету смотрит траффик? По кускам?

MeGaBrAiN

Цитата:

средствами исы - никак

Стандартными никак, а расширенными можно. В SDK есть пример как создать фильтр в виде dll, который будет блокировать/пропускать соединения.

yurinb
ты предлагаешь чтобы кто-то написал тебе такой фильтр чтоли?

не уверен кстати что это эффективный способ борьбы со спамом

MeGaBrAiN
Спрос рождает предложение. И если кто то уже сделал себе такой фильтр, то я не откажусь от его использования. Если никто не откликнется, придется самому изобретать велосипед.

Такой вопрос появился, для работы с анализаторами логов (IAM, PI, etc) нужно переводить логи в W3C формат (IAM 3.0 читает MSDE формат, но часто некорректно). При этом теряется возможность в самом менеджере ISA выкручивать логи за какое-либо время, только live. Внимание, вопрос: нет ли какой-нибудь утилитки, чтоб логи MSDE преобразовывать в W3C, или даже SQL -> W3C?

Asker80
например
_http://www.microsoft.com/downloads/details.aspx?FamilyId=A60A09A0-E4AD-47C7-9961-5E22E65CA986&displaylang=en


Цитата:

MSDEToText.vbs converts ISA Server 2004 SQL Server 2000 Desktop Engine (MSDE) logs into a text file, or displays contents on the screen.

Действительно, оно самое, огромное спасибо! Пол-Инета перелопатил, нифига не нашел, а к мелкомягким даже не подумал заглянуть...

Sorry за глупый вопрос: а сабж бывает русским?

Добавлено:
И ещё вопросец: на Win2k Server SP4 что лучше поставить?

Цитата:

Sorry за глупый вопрос: а сабж бывает русским?

Не-а. Зато китайским - да!

Добавлено:

Цитата:

И ещё вопросец: на Win2k Server SP4 что лучше поставить?

Наверное все равно, но ISA 2004 проще и удобнее настраивать и пользовать ИМХО... Хотя я могу и ошибаться

Вопрос в следующем:

Все было прекрасно до 19 числа, потом вдруг перестал пускать трафик с сервера (Kaspersky Adm-Kit, WSUS) без прописывания в них прокси. Рабочие станции прекрасно ходят без всяких указаний на прокси сервер, любой траффик.

IE на сервере, если убрать галку с прокси сервера пишет 403 Forbiden Thye ISA Server denied the specified Uniform Locator (URL) (12202)

Что могло произойти, и как лечить ?

На раб. станциях Firewall Client стоит? А сервер идет через SecurNAT? Тогда веб-трафик скорее всего был перенастроен для Authenticated Users.