To kazavo4ka:
А на фтп заходит? или только не можешь туда что-то залить?
А на фтп заходит? или только не можешь туда что-то залить?
» Microsoft ISA Server 2006/2004/2000 (Часть II)
wifi
Да из первых двух мест заходит, можно и заливать и качать, а вот в третьем...
И еще возник вопрос. В ISA 2004 можно лимитировать траффик пользователей встроенными средствами? Без всяких TrafficQuota и т.д.
Да из первых двух мест заходит, можно и заливать и качать, а вот в третьем...
И еще возник вопрос. В ISA 2004 можно лимитировать траффик пользователей встроенными средствами? Без всяких TrafficQuota и т.д.
Цитата:
И еще возник вопрос. В ISA 2004 можно лимитировать траффик пользователей встроенными средствами? Без всяких TrafficQuota и т.д.
нет
Друзья, скажи мне, есть ли возможность разрулить следующую ситуацию:
у ISA Server имеется несколько внешних адресов. Через нее реализуется NAT нескольких сетевых сегментов. Мне необходимо, чтобы в зависимости от принадлежности к тому или иному сетевому сегменту, пользователь в интернете фигурировал с тем или иным реальным адресом. Сейчас он без разбора всех "натит" под одним IP
Блин, а если начальство за каждую копейку жмется, не дает дополнительное ПО покупать то никак нельзя ограничить траффик? УЖОС!
Цитата:
в зависимости от принадлежности к тому или иному сетевому сегменту, пользователь в интернете фигурировал с тем или иным реальным адресом
по-моему уже это как-то обсуждалось, создать несколько Internal & External сетей, каждой прописать нужные IP и соответственно 2 комплекта правил
Вопрос внешняя сетевая на котрой два и более реальныхайпи как сделать что ИСА делалал для нужных внутренних сетей nat с нужным айпи
drros
1. создаю сеть External-типа с адресом диапозона состоящий из одного из внешних IP
2. создаю сетевое правило, отганизующее NAT для определенного сетевого сегмента в вышеописанную сеть
3. создаю правило файрвола, позволяющее ходить интересующему меня сегменту в сети External ( на всякий случай) и сеть, описанную в п.1
после всего в логах как результат имею инициализацию соединения и следующую за ней Denied по правилу Last Default Rule
поправте меня, если я сделал что-то неправильно
Цитата:
и если можно, ткните на страницу обсуждения
1. создаю сеть External-типа с адресом диапозона состоящий из одного из внешних IP
2. создаю сетевое правило, отганизующее NAT для определенного сетевого сегмента в вышеописанную сеть
3. создаю правило файрвола, позволяющее ходить интересующему меня сегменту в сети External ( на всякий случай) и сеть, описанную в п.1
после всего в логах как результат имею инициализацию соединения и следующую за ней Denied по правилу Last Default Rule
поправте меня, если я сделал что-то неправильно
Цитата:
по-моему уже это как-то обсуждалось, создать несколько Internal & External сетей, каждой прописать нужные IP и соответственно 2 комплекта правил
и если можно, ткните на страницу обсуждения
enver
а Ineternal сети созданы? Какая ИСА - Enterprise или Standart? В Ент нужно создавать несколько сетей уровня Enterprise - в св-вах сетей прописываешь нужные IP. Потом в сетевых правилах создаёшь правило что из IntNet1 NAT в ExtNet1 и из IntNet2 NAT в ExtNet2
а Ineternal сети созданы? Какая ИСА - Enterprise или Standart? В Ент нужно создавать несколько сетей уровня Enterprise - в св-вах сетей прописываешь нужные IP. Потом в сетевых правилах создаёшь правило что из IntNet1 NAT в ExtNet1 и из IntNet2 NAT в ExtNet2
drros
вот это уже интересно
у меня Standart
у Enterprise на этот счет больше примочек?
вот это уже интересно
у меня Standart
у Enterprise на этот счет больше примочек?
enver
нет, просто в ент возможно несколько путей создания сетей - на уровне Enterprise и на уровне сервера
только что вот погонял на виртуалке всё, выходит что обшибся я. не получится пускать из разных подсетей на разные адаптеры. низя. единственный вариант который вижу - создавать 4 сети -
1: Ext1 - 0.0.0.0 - 126.255.255.255
128.0.0.0 - 128.255.255.255
2: Ext2 - 129.0.0.0 - 192.167.255.255
192.169.0.0 - 254.255.255.255
3: Int1 - 1 половина локальной сети
4: Int2 - 2 половина локальной сети
Network Rules:
Int1 - Ext1 --- NAT
Int2 - Ext2 --- NAT
Итого имеем - на мой взгляд херь полную. Совершенно не факт что адреса на которые обращаются будут разделены пополам. Более разумный подход - разнести 2 сетевых карточки на 2 разных компьютера и настроить Load Balancing. Но там тоже затыков будет много.
нет, просто в ент возможно несколько путей создания сетей - на уровне Enterprise и на уровне сервера
только что вот погонял на виртуалке всё, выходит что обшибся я. не получится пускать из разных подсетей на разные адаптеры. низя. единственный вариант который вижу - создавать 4 сети -
1: Ext1 - 0.0.0.0 - 126.255.255.255
128.0.0.0 - 128.255.255.255
2: Ext2 - 129.0.0.0 - 192.167.255.255
192.169.0.0 - 254.255.255.255
3: Int1 - 1 половина локальной сети
4: Int2 - 2 половина локальной сети
Network Rules:
Int1 - Ext1 --- NAT
Int2 - Ext2 --- NAT
Итого имеем - на мой взгляд херь полную. Совершенно не факт что адреса на которые обращаются будут разделены пополам. Более разумный подход - разнести 2 сетевых карточки на 2 разных компьютера и настроить Load Balancing. Но там тоже затыков будет много.
Народ, может я не совсем туда пишу, но я не знаю где это искать. Вообщем нужен хотфикс к ИСЕ 2004
http://support.microsoft.com/?kbid=920716
заранее благодарен.
http://support.microsoft.com/?kbid=920716
заранее благодарен.
А ISA2006 на Windows2003x64 никто не пробовал ставить? Будет ли работать? ISA2004 не хочет 
ребят, у меня сразу 2 вопроса.
1. Обязателен ли для ISA SERVER 2004 наличие Active Directory?
2. Не будет ли мой mDaemon 9, конфликтовать с ISA SERVER 2004?
1. Обязателен ли для ISA SERVER 2004 наличие Active Directory?
2. Не будет ли мой mDaemon 9, конфликтовать с ISA SERVER 2004?
ISA серверу домен не обязателен.
С демоном конфликтовать не будет.
С демоном конфликтовать не будет.
W2K3 R2, ISA 2004 EE SP2, Workgroup. На сервере стоит почтовик MDaemon для внутренней переписки и есть внешний почтовый сервер у провайдера (+ бесплатная почта типа mail.ru). Создал правила, смотрите скриншот.
Web и ICQ после указания адреса и порта прокси работают. Почта отказывается и на приём и на отправку, как на сервере (Thunderbird) так и на клиенте (The Bat!). В логах ISA что-то типа "Зафиксировано подключение" и далее Closed.
Если в правиле MAIL указать Internal -> External, тоже не работает. Если указать All Networks+LocalHost->Networks+LocalHost, то на сервере почта работает и внутренняя и внешняя, а на клиенте только внутреняя.
Догадываюсь, что дело в какой-то мелочи, но сходу проблему не решил.
P.S. Нужно ли опубликовывать внешний провайдерский сервер и внутренний (внутренней переписки)?
Web и ICQ после указания адреса и порта прокси работают. Почта отказывается и на приём и на отправку, как на сервере (Thunderbird) так и на клиенте (The Bat!). В логах ISA что-то типа "Зафиксировано подключение" и далее Closed.
Если в правиле MAIL указать Internal -> External, тоже не работает. Если указать All Networks+LocalHost->Networks+LocalHost, то на сервере почта работает и внутренняя и внешняя, а на клиенте только внутреняя.
Догадываюсь, что дело в какой-то мелочи, но сходу проблему не решил.
P.S. Нужно ли опубликовывать внешний провайдерский сервер и внутренний (внутренней переписки)?
Markes
Одно из двух: либо включай роутинг на серваке и делай его шлюзом, либо на машинку, которая должна брать почту из вне ставь фаервол клиент
Одно из двух: либо включай роутинг на серваке и делай его шлюзом, либо на машинку, которая должна брать почту из вне ставь фаервол клиент
NEED
Так и сделано: скриншот. С FWC пока не хочется зморачиваться.
При таких правилах на сервере работает вся почта, а на клиенте только внутренняя.
Так и сделано: скриншот. С FWC пока не хочется зморачиваться.
При таких правилах на сервере работает вся почта, а на клиенте только внутренняя.
Markes
включи NAT вместо Route, ИМХО должно заработать
включи NAT вместо Route, ИМХО должно заработать
drros
Цитата:
Изначально и стоял NAT - не работало. На другом форуме посоветовали поднять DNS и сделать правило "allow dns from internal to localhost for all users". На днях попробую.
Цитата:
включи NAT вместо Route, ИМХО должно заработать
Изначально и стоял NAT - не работало. На другом форуме посоветовали поднять DNS и сделать правило "allow dns from internal to localhost for all users". На днях попробую.
так у тебя для ДНС правила НЕТ? на скриншотах, это что, все правила которые есть?? как ты собираешься поднять DNS без домена? на *nix'ах?
поставь НАТ, создай правило "allow dns from internal to external for all users", для контролю ещё разреши ping фром интернал в екстернал и попробовать попинговать что-нибудь снаружи.
поставь НАТ, создай правило "allow dns from internal to external for all users", для контролю ещё разреши ping фром интернал в екстернал и попробовать попинговать что-нибудь снаружи.
drros
Цитата:
Других нет.
Цитата:
На W2K3 можно и без домена.
Цитата:
У тебя так работает? Внутреннего DNS сервера нет?
Цитата:
на скриншотах, это что, все правила которые есть??
Других нет.
Цитата:
собираешься поднять DNS без домена?
На W2K3 можно и без домена.
Цитата:
поставь НАТ, создай правило "allow dns from internal to external for all users"
У тебя так работает? Внутреннего DNS сервера нет?
Цитата:
собираешься поднять DNS без домена? На W2K3 можно и без домена.
первый раз слышу.
Цитата:
У тебя так работает? Внутреннего DNS сервера нет?
нет, у меня домен и днс.
если делать нат и правило
Цитата:
allow dns from internal to external for all users
то нужно у пользователей поставить адрес внешнего днс сервера, например провайдера.
Markes
Цитата:
Я когда делал у себа, проставил FWC и не заморачивался. И все работало.
Цитата:
С FWC пока не хочется зморачиваться.
Я когда делал у себа, проставил FWC и не заморачивался. И все работало.
да когда на трафик пофиг и не нужна аутентификация, то можно и без FWC, но имхо всё же лучше поставить, тем более там ставить - делов-то на 2 минуты.
Народ, а можно в исе 2004 сделать так, чтобы на ftp'шник могли заходить люди только с разрешенных ip'шников? У меня открыты порты 6000 и 2000-2010, хочу чтобы через них могли ходить только определенные ip'шники.
kazavo4ka
создай группу компьютеров, в неё занеси те IP которым нужно дать доступ и в правиле открывающем доступ к фтп в "from", включи только эту группу.
создай группу компьютеров, в неё занеси те IP которым нужно дать доступ и в правиле открывающем доступ к фтп в "from", включи только эту группу.
Вопрос:
Настраиваю на 2-х ИАСх 2004 сайт-ту-сайт ВПН - вроде все по инструкциям.
Грабли вылезли с РАСом: если поднят на одной стороне интерфейс в другую сеть, то второй отваливается с сообщением RRAS 20111 - Модем или другое устройство связи сообщило об ошибке.
Поднять сразу оба так и не вышло - либо туда либо оттуда.
В чем может быть проблема - где полазить что покрутить?
Настраиваю на 2-х ИАСх 2004 сайт-ту-сайт ВПН - вроде все по инструкциям.
Грабли вылезли с РАСом: если поднят на одной стороне интерфейс в другую сеть, то второй отваливается с сообщением RRAS 20111 - Модем или другое устройство связи сообщило об ошибке.
Поднять сразу оба так и не вышло - либо туда либо оттуда.
В чем может быть проблема - где полазить что покрутить?
Есть такая фигня.
Стоит Windows 2000 Server с Active Directory (то есть Domain Controller) и конечно же с ISA 2000 (Intergrated) .
Он на сервере, где 2 сетевые карты ( "внутренний" interface и "внешний" interface) , есть 2 локальные сети.
Одна сеть, например с диапазоном 192.168.0.x состоит из собственно домена, например mydomain.com (в котороый входит и вышеупомянутый сервер, других компьютеров пока в домене нет) и рабочей группы, например Home, в которую входят несколько компьютеров с Win XP.
Еще раз напомню, диапазон IP у этих двух "подсетей" одинаковый, "рабочие группы" разные.
Вторая сеть, адрес "рождается" DHCP сервером, но он например диапазона 10.0.3.x, в этой же сети есть еще несколько подсетей, но с разными диапазонами, например 10.0.1.x, 10.0.2.x, 10.0.4.x, 10.0.5.x, все компьютеры этих подсетей объеденены в одну группу, например Workgroup.
Они соединяются (эти компьютеры конечно же через router' ы, через укакие не знаю, скорее всего аппаратные) .
Еще раз напомню, диапазоны разные, рабочая группа одна.
Через этот interface "идет" internet.
Так вот Internet - то идет, но с сервера не видно рабочей группы Workgroup и компьютеров по именам, входящих в нее (не зависимо от диапазона, даже если это компьютеры из диапазона, из которого адрес на "внешнем" interfac'e ) и с компьютеров группы Home не видно также рабочей группы Workgroup.
Как это все сделать ?
Стоит Windows 2000 Server с Active Directory (то есть Domain Controller) и конечно же с ISA 2000 (Intergrated) .
Он на сервере, где 2 сетевые карты ( "внутренний" interface и "внешний" interface) , есть 2 локальные сети.
Одна сеть, например с диапазоном 192.168.0.x состоит из собственно домена, например mydomain.com (в котороый входит и вышеупомянутый сервер, других компьютеров пока в домене нет) и рабочей группы, например Home, в которую входят несколько компьютеров с Win XP.
Еще раз напомню, диапазон IP у этих двух "подсетей" одинаковый, "рабочие группы" разные.
Вторая сеть, адрес "рождается" DHCP сервером, но он например диапазона 10.0.3.x, в этой же сети есть еще несколько подсетей, но с разными диапазонами, например 10.0.1.x, 10.0.2.x, 10.0.4.x, 10.0.5.x, все компьютеры этих подсетей объеденены в одну группу, например Workgroup.
Они соединяются (эти компьютеры конечно же через router' ы, через укакие не знаю, скорее всего аппаратные) .
Еще раз напомню, диапазоны разные, рабочая группа одна.
Через этот interface "идет" internet.
Так вот Internet - то идет, но с сервера не видно рабочей группы Workgroup и компьютеров по именам, входящих в нее (не зависимо от диапазона, даже если это компьютеры из диапазона, из которого адрес на "внешнем" interfac'e ) и с компьютеров группы Home не видно также рабочей группы Workgroup.
Как это все сделать ?
Vxd2000
Оперный театр, лучше нарисуй
Оперный театр, лучше нарисуй
А существует ли возможность удаленного управления 2004 исой? Хотя бы из локальной сети.
Страницы: 12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152535455565758596061626364656667
Предыдущая тема: Запрет использования интернет через GPO
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.