» Microsoft ISA Server 2006/2004/2000 (Часть II)

Refugee

Цитата:

OpenVPN работатет по TCP или UDP

pptp тоже работает через tcp 1723.
так open vpn это сервер, его надо на обе стороны ставить что ли? задача стояла впнится к исе, а ты предлагаешь левый софт, с левым я и так разберусь. а то получается в ответ на задачу сьесть яблоко ты предлагаешь, нафиг яблоко, жри грушу )

hardhearted
в pptp данные по GRE (ip protocol 47) передаются, вообще то.
Лечи провайдера, если не нравятся груши.
Если уж к мелочам придираться, то ты писал,задача была впнится, а не пптпиться.

Refugee
но вопрос был задан в теме, посвященной ISA Server

Refugee

Цитата:

Раньше с ВПН на исе не работал совсем. Недавно поднял vpn сервер (pptp, l2tp не проверял, технически пока нереализуемо), чтоб из дома юзера могли ходить, и седня заметил что если юзера идут с одного хоста/ip (то есть один домашний провайдер, а все юзера за натом) то подключится может только один, у остальных коннект стопорится на verifying username and password. Это by design или все таки как то лечится?

читай, задача стояла разобраться с конкретным глюком, а именно pptp, именно на ису, именно с одного внешнего хоста.

enver

Цитата:

Друзья, кто-то публиковал торент-клиента за сабжем?

Я когда-то настраивал под 2004. Использовал в качестве примера вот эту статью. Она по настройке мула, но для торрента все тоже самое, только порты другие.

кто пробовал новый Bandwidth Splitter? вроде как поддержиает все протоколы

GOODmen
Я юзаю 1.04 для ИСА 2004/2006.

Но до этого стоял 1.03 - так и он все протоколы ловил.
Главное хотфикс заюзать. Пока не пофиксил ису - осел и торент и аська мимо него шли.

ZEF
Он стоит своих денег? отчеты и прочее считает нормально? обрезаловка трафика для юзеров пашет как надо?
А блин, он к железу привязывается оказывается, просто так не поэксперементируешь, да и цена почти как у самой ИСЫ... обалдеть

GOODmen
отчетов он не строит. режет отлично.
к железу он привязан - только к харду.
поэксперементируй на 10бесплатных коннектах.

А на счет стоит денег - не могу однозначно ответить.
Скажу за себя - собираемся 25 лицензий брать.
Осталось потестить квотирование. И работу с несколькими сетками.
Арендаторов нужно как то в узде держать.

В целом меня тесты устроили. Я думаю все зависит от поставленных задач и сложности их реализации.

Как по мне очень удобная и простая штука. Не надо долго мозг парить, что бы настроить и юзать.

ZEF спасибо, скажешь как прошло квотирование? у нас юзеров 100 будет... Вот думаю то ли Керио (уже есть и квотироваине и обрезаловка) взять (план на 2007год надеюсь прокатит), то ли ИСУ...

GOODmen
Если у тебя домен, то у Керио есть косяк (хотя мож в новых билдах исправили, не смотрел): русские имена пользователей не авторизуются по NTLM. Я понимаю, что русские username'ы - нонсенс, но сетку не я строил, и правила именования уже бвли прописаны до меня...
А вообще не люблю я Керио, и все тут . Надо переходить на ИСУ, вот квотирование на SQL дотестю, и вперед.

Asker80
Гы, у нас русских юзернэймов нет... А что за квотрирование на SQL?

GOODmen
http://forum.ixbt.com/topic.cgi?id=7:18643

Ребят, спасайте. Сегодня весь день возился с ISA Server 2000. А задачка-то, собсно, наипростейшая: необходимо открыть один UDP - порт. Создал правило для протокола с указанием порта с разрешением всего. В "Protocol Rules" разрешил созданное правило. И ничего.. не открывает ИСА нужный мне порт. Что делать?

заранее спасибо!

2003 сервак иса 2003
Трабл небольшой ухожу с работы нет пашет, прихожу с утра провайдер пингуется но связи с нетом нет. Никто не сталкивался? И еще одна трабла: я юзаю bloackattacker и при его использовании вылезает ошибка что типо не может он создать файл который уже сущенствует, не пойму в чем дело(

Господа вопрос:

есть сервер на ISA2004 стоит ли апгрейдить до 2006? И кто делал апгрейд поделитесь как все прошло все параметры и правила нормально сохранились и перешли в новую версию?

Abonentden
а в логах что пишет, когда происходит обращение по этому протоколу?

Bionoiz

Цитата:

я юзаю bloackattacker

да снеси его к чертям, ИМХО ISA сама прекрасно детектит атаки

Добавлено:
Кто-то сталкивался с проблемой когда, в логах исы пользователь определялся вместо domain\user вот такой ерундой user (?) ?

Добавлено:
И еще... Столкнулся с непонятной ситуацией... Создаю правило на запрещение трафика для определенной доменной группы пользователей...
Группа пустая, а весь трафик, проходящий не через прокси, зарезается именно по этому правилу. Вношу себя в группу, начинает зарезаться и прокси-траффик.

В обоих случаях, судя из логов, авторизация пользователя происходит нормально

enver

Цитата:

И еще... Столкнулся с непонятной ситуацией... Создаю правило на запрещение трафика для определенной доменной группы пользователей...
Группа пустая, а весь трафик, проходящий не через прокси, зарезается именно по этому правилу. Вношу себя в группу, начинает зарезаться и прокси-траффик.

правило в студию, скорее всего правило неправильное )

Добавлено:
или расположено не там, кстати и логи бы неплохо увидеть )

Помогите,может кто сталкивался с проблеммой такого вида:
На серваке стоит Windows server 2003. Я ставлю ISA 2004 в
режиме файрвола и прокси.
На клиентской машине ставлю связь через прокси сервер порт
8080.Веб страницы открываются отлично,но не работает почта.Пишет
что сервер недоступен.Ни The bat! ни outlook.Если я ставлю dns
на клиентской машине такой же как и у внешнего интерфейса
сервака, почта работает, но тогда клиентская машина может при
желании пройти мимо прокси и не оставить лога.Мне необходимо
учитывать трафик и по http и по pop ,smtp.Подскажите. Зарание
спасибо.Мыло igorjip@rambler.ru (yandex, mail)

Igorjip
бредятина какая то, как это у тебя клиент может пройти мимо исы? она у тебя что не единственный выход в инет?
web proxy работает ТОЛЬКО для web трафика, а "почта", то есть протоколы pop,pop3,smtp,imap и др, это точно не web )) поэтому к прокси не имеет никакого отношения и ходить через него не будет.

Добрый день
Имеется ИСА2004, логи пишуться в SQL, как удалить логи старше 6 мес?
Написал запрос в SQL, удалить надо много, при выполнении запроса, отваливается MicrosoftFirewall из-за невозможности записать в базу данные. Кто-нибудь сталкивался с такой проблемой?

Vby
стандартная фигня, особенно если индексы неправильные или их вообще нет. большая нагрузка, лучше удалять по месяцу например, или застопить ису и удалить.
кстати какое условие пишешь для "старше 6 месяцев"?

hardhearted
правило расположено в самом верху
в случае, когда меня все таки пропускает в интернет, срабатывает правило разрешающее мне все на свете, которе в свою очередь располагается вторым

с правилами все в порядке...

как ты хочешь чтобы я выложил логи? это же не юникс, чтобы я вставил весь лог

меня скорее интересует, сталкивался ли кто-то с случаем когда пользователя авторизовало как user (?)
а это уж никак не связано с правилами

hardhearted

Цитата:

кстати какое условие пишешь для "старше 6 месяцев"

поле logTime < (Сегодняняя дата - 6 мес)

Vby
А остановить сервис и выполнить запрос не пробовал?

Vby
мож всетаки logdate?
индексы для исашной базы создаются сами если юзал скрипт из поставки исы.
если логов много то будет тормозить, особенно если sql2000, 2005 в этом смысле заметно пошустрее.
enver
есть общие рекомендации по правилам, например правила для анонимов должны быть выше чем правила для аутенфицированных юзеров (у тебя как раз наоборот). Читай матчасть, особенно что касается аутенфикации,
если кратко и на пальцах: когда соединение подходит правилу по всем параметрам, но соединение анонимное, а правило не для анонимов, то иса откидывает соединение именно по этому правилу считая что произошла ошибка аутенфикации (аноним это юзер), а вот если бы соединение не было анонимным, то иса сверила бы юзера с той группой что вписана в правиле и уже приняла бы правильное решение. Именно поэтому я просил правило и логи, телепаты пожизненно в отпусках, и задавая вопросы не предоставляя абсолютно никакой инфы будь готов к тому что на них никто не ответит.

Цитата:

как ты хочешь чтобы я выложил логи? это же не юникс, чтобы я вставил весь лог

что то я не пойму, что тебе мешает выложить пару строчек лога, и чем иса в этом смысле хуже юникса?

enver
Ночью и в выходные я отдыхаю, а остальное время сервис трудится.
hardhearted
Именно logTime, по нему и индекс, логов 7 гиг, SQl2005, придется наверное как-нить остановить сервис и почистить базу, осталось только время спланировать.

Vby
вообще дата кладется в logdate, просто иса поля разделяет а в базе и logtime и logdate имеют формат datetime. но в logtime дата всегда одна и какая то древняя, типа 1830 год.
у меня на logdate стоит non-clustered, а на logtime clustered индексы, но это база однодневка, в ней логи лежат до ночи а потом с урезанием (и объединением полей logdate и logtime в одно поле date_time) перекладывается в другую базу (и на другой сервак), там индекс по date_time clustered.
7 гиг это мало, у меня за сутки набегает по 1-1.5 гига тока в файрвольную базу

hardhearted
единственная запись в логах - это запрет по правилу, которое должно запретить доменной группе пользователей, в которой я кстати не нахожусь. запрет происходит только тогда когда соединение происходит по SNAT

если принципиален порядок разрешений/запретов авторизованным/анонимусам, то после упомянутого правила стоит правило разрешающее все всем пользователям, но до него даже дела не доходит, все динайдится на уровне первого правила

Добавлено:
Vby
ИМХО, тебе скорее в тему посвященную Microsoft SQL Server в разделе прикладного программирования. Там наверное лучше всего подцепить тригер или процедурку (я в этом не совсем понимаю) к таблицам, которые например раз в неделю на выходных будут подчищать базу в нужном контексте

Такая ситуация. Есть домен на базе win 2003. Есть 2004 isa + sp2. Есть рабочий машины. В правилах исы есть настройки, кот. позволяют всем пользователям из internal ходить в external по протоколам http, https, ftp. Раб. машины не могут зайти на любой ftp, в логах исы пишется что доступ к такому-то фтп (например fтp://fтp.symantec.com) по 21 порту запрещён. Хотя он вроде как разрешён. На сайты, т.е. по http клиенты заходят. Web-proxy включен. Ставил и клиента исы на раб. машину, такая же беда. Кто что подскажет?