» Microsoft ISA Server 2006/2004/2000 (Часть II)

hardhearted
Естесно уверен. Перегрузил сервер, посмотрел орги. Всё тоже самое что я и раньше писал.
Причём интересный момент: если с 192,168,2,54 пингануть любой компутер из сети 192,168,0,0 = всё ок. а если от него пинговать сам Иса сервер 192,168,0,102 = то даже не пингуется. Во как.

shpunt
а иса сервер позволяет себя пинговать?

andrewpr2414
Если Нет красного то все нормально. Зеленое включается только при запросах к интернет

hardhearted
Разобрался.
Теперь из второй подсети могут ходить в Инет.
...
Смысл в следующем:
Здесь я читал, что если несколько подсетей, то необходимо ещё создать правило именно для "подсетей" (кроме роутинга и кроме добавления сетки в Internal)
Подскажите плиз, как правильно написать такое правило?
Я в Subnet создал 2 подсети и написал правило разрешающее ходить из одной подсети в другую.
Здесь расписано как правильно сделать.
http://www.isaserver.org/pages/article.asp?id=1278
how do I control access to the .10, .20 and .30 subnets then?
Once all of these address ranges are included in the Network, you should go into the Firewall Policy -> Toolbox -> Network Objects and create new "Subnets" for the .0, .10, .20 and .30 subnets and then create Firewall Policy Access Rules that apply to the Subnets instead of the "Network".
Как это сделать по шагам?
...
а перестало работать, потому что кроме подсети я ещё добавил "все сети". (т.е. ходить из одной подсети в другую + все сети) т.е. два правила: из первой во вторую и из второй в первую. щас их удалил - заработало.
Но мне кажется я всё же неправильно написал правило для подсетей. Смысл сделать так, чтобы Иса "понимала" обе подсети. Т.к. она не понимает вторую подсеть, может поэтому ругается Event ID: 14147 ?

так, насчет зеленой стрелки понятно все, спасибо , пояснили.
следующий вопрос такого плана:
не работает ася на 1 машине, все настроено по стандарту, как и во всей сети
единственный нюанс, это то что на ней ( на машине) проинсталена консоль управления ISA server.
Не может ли это быть причиной, что не работает файрвол клиент?
При всем при этом через веб прокси с этого компа все отлично , браузер работает .
пользователь в группу icq access включен.

shpunt
для начала вот те перевод этой статьи
http://www.internetaccessmonitor.ru/rus/products/articles/Network_Behind_A_Network/Network_Behind_A_Network.php
во вторых между сеткой 0 и 2 трафик не должен ходить через ису, а должен сразу идти напрямую через твой 3com, сейчас у тебя пакеты из 2 в 0 идут через 3com минуя ису, а из 0 в 2 через ису, на всех компах из 0 пропиши маршрут в 2 через 3com
в статье про сабнеты имелось ввиду те случаи когда тебе надо для разных сетей разные доступы наружу делать (кстати в network rules тоже можно разные правила задать для разных подсетей.) в твоем случае internal это две подсети 0 и 2, если ты хочешь по разному им инет давать то надо создать subnet для 0 и subnet для 2 и в firewall policy в поле from указывать разные subnets а не internal

Добавлено:
andrewpr2414
как я уже говорил сначала смотри логи

hardhearted
"на всех компах из 0 пропиши маршрут в 2 через 3com"
Зачем? Пусть из 0 в 2 все ходят через Ису. (ведь в 0 шлюзом является Иса)
...
Значит удалить сабнеты в правилах Исы?
Т.е. чтобы 2-я подсеть правильно ходила в инет надо:
1. на Исе добавить в интернал вторую подсеть.
2. на Исе прописать ручками роутинг во вторую подсеть (где шлюзом будет 3COM)
И всё?
Но у меня именно так и сделано.
Но ошибки Source: Microsoft Firewall Event ID: 14147
всё-равно после перезагрузки появляются....
...
И ещё: установил SurfControl Web Filter 5.0.1.39
Там пользователи, которые мониторятся - должны появляться автоматически все. А у меня почему-то только 5 компов из 20. Остальных нету ... И в Инет ходят все.
Вот я и думаю ..

shpunt

Цитата:

Зачем? Пусть из 0 в 2 все ходят через Ису. (ведь в 0 шлюзом является Иса)

я тебе на 46-й странице писал зачем (tcp stateful filter), а во вторых неправильно это, для исы обьект network это множество компов которые друг с другом могу общаться мимо нее, вот пусть они мимо нее и общаются )

Цитата:

И всё?

если у тебя для 0 и 2 доступы одинаковые (от клиентов в инет, от клиентов к исе, от исы к клиентам) то сабнеты в принципе не надо, обе сетки у тебя в internal и можно везде оперировать этим обьектом.
насчет ошибок уже не скажу, если у тебя действительно все правильно настроено то появляться они больше не должны.
surfcontrol и другую левоту не ставил и ничего по нему не подскажу

hardhearted
"маршруты прописывать в своей сети все равно надо
все это можно делать скриптами через доменную политику например"
Можешь кинуть такой скриптик применительно к моему случаю?
В принципе, оно не решит проблему с Event ID: 14147.
Но т.к. оно появляется одноразово и сразу после перезагрузки - то можно на эту ошибку забить

shpunt
дожили )))))
создаешь файлик blabla.cmd и в нем одну строчку
route add -p 192.168.2.0 mask 255.255.255.0 192.168.0.111
этот файлик суешь куда нить например в папку netlogon контроллера и вставляешь его в политику как startup script (не logon!) да и лучше если он будет распространятся тока на компы из 0 сетки

hardhearted
Спасиб.
В общем да, глупый был вопрос.
Я сначала спросил, а потом сам сообразил.

кто-нибудь настраивал осла (emule) через isa 2004 ? схема: инте - иса - клиент.

А Firewall Client for ISA Server 2004 как-нить менялся с момента выхода самой Исы? Может его новые версии выходили .. ?

MrKiT
а собственно в чем проблема?

приведите плз какие нужно прописывать протоколы и какие параметры в Firewall Client Settings? были все настройки в старом конфиге исы, но винт на котором были бакупы скоропостижно скончался.

shpunt
с сервис паками кажись менялся
MrKiT
с портами там сложно, разные серваки могут юзать разные порты, можно конечно открыть кучу портов или даже все. Еще он умеет через прокси но скорее всего тока с basic authentication. у firewall client ничег описать не надо.

hardhearted

Цитата:

с портами там сложно

это я в курсе

Цитата:

разные серваки могут юзать разные порты

и про это тоже.

я спрашиваю про конкретные примеры настроек. про номера портов я тоже знаю.

MrKiT
а куда конкретнее то, открываешь все порты какие надо и все

hardhearted
ок пасиб я попробую,,,если что напишу если не получится

Вопрос к знатокам
Настроил сеть таким образом что клиенты находятся за маршрутизатором. На маршрутизаторе под Unix хочу вести статистику.
На ISA Server включил доступ в Интернет только авторизованым пользователям. Соответственно необходимо поставить Firewall Client. Заметил одну особенность. Если работает Firewall Client, пакеты идущие до ISA несут в заголовках в качестве Destanation Address внутренний адрес ISA Server, а не оригинальный адрес назвачения, как это бывает в традиционном случае с NAT.
Можно ли как-то настроить ISA Server таким образом, что файрвол клиент не подставлял бы в заголовках пакетов адрес ISA Server?

enver
мда, случай клинический тут знатоки и медицина бессильны. это специфика работы fwc такая, работает он через winsocks и если на компе наберешь netstat то увидишь что все коннекты в инет которые через fwc идут на самом деле это коннекты не в инет а на ису )
настроить наверное нельзя, разве что взять исходники исы и переписать все к чертям, заодно и несколько протоколов переписать )

а жаль
на Unix-е так красиво режеться скорость по напрвлениям, трафику и как только захочешь... ну разве что по пользователям.... но они у меня не скачат по рабочим станциям, а по сему можно зарезание по ширине канала определенного адреса принимать за зарезание пользователя

Добавлено:
С другой стороны.... если снести файрвол клиент, то проблемы по-большому счету будут только с софтом, использующим NAT, правильно? Internat Explorer может использовать NTLM-авторизацию... или я ошибаюсь? При этом мне необходимо чтобы в нет ходили без прописывания прокси сервера. В таком случае авторизация будет происходить?

enver

Цитата:

клиенты находятся за маршрутизатором

- а иса где?

Цитата:

доступ в Интернет только авторизованым пользователям. Соответственно необходимо поставить Firewall Client.

- по HTTP FTP - клиент не нужен

enver
Serra
никто, еще раз повторяю НИКТО и НИЧТО не может проходить аутенфикацию по юзеру через юзая простой NAT, технологией NAT этого не предусмотрено. браузеры и другие проги могут аутенфицироваться только на прокси (в случае с иса это web proxy, и если купить addon то можно юзать socks5 прокси в прогах которые умеют socks5). Весь принцип fwc построен на том чтобы перехватывать трафик от приложений и кидать их на ису, при этом fwc передает на ису информацию об аутенфикации. Так что для браузеров в том числе IE только два способо аутенфицироваться: прокси или fwc

Добавлено:
enver
а для резки можешь попробовать какие нить аддоны для исы, в левых аддонах я не спец, сам не юзаю.

Serra
######
# ISA #
######
|
########
# Router #
########
|
##########
# Clients #
##########

hardhearted
Единственный нормальный продукт для резки ширины канала, который я знаю - это BSplitter. Но, к сожалению на него управы еще не нашли. А я не сторонник покупки приблуды к ISA, которая стоит больше самой ISA.... кстати, которая еще не известно как работает... есть скудные отзывы нубов, но где гарантия что это не девелоперы

триал версия вроде чешется, но я привык сначала пробовать софт под полной нагрузкой, а потом уж покупать, если уж сильно понравится и хочется чтобы работал честный софт

enver
посмотри isaserver.ru, если конечно не смотрел. там есть раздел про аддоны в том числе про bsplitter

Возникла проблема !
Юзаю 2004 EE

Прописал правило FW Access например под именем "LAN" к примеру доступ в инет
из ЛВС контр пользователям (AD)

Далее понадобилось сие правило УБРАТЬ ну я как положено его удалил

А в логах ОНО всё равно присутствует

Сервис перегружал
Даже сервак перегружал
А оно в логах есть ?????

Как такое могет быть ???

To All
Помогите пожалуйста с вот таким вот вопросом -

конторе подключили инет, по принципу как в некоторых домовых сетях - чтоб выйти в инет нужно сначала сделать соеденение pptp с их сервером. Вопрос вот в чем - контора в будующем хочет организовать свой почтовый сервер, ftp'шник, ну вообщем сервисы требующие статического ip. В конторе которая подключала к инету говорят что датут статический ip, но соединение pptp все равно надо будет устанавливать. Какие-нибудь решения в ISA 2004/2006 есть? Или искать другого провайдера чтоб мог предоставить постоянный доступ?

Все будет работать.
проверено.
Иса нормально работает с PPoE соединением.

shurshuc
Допустим комп с исой перезагрузился (ну вырубили электричество, упс подождал подождал и вырубил его,потом стартовал) - все, соединение пропало, надо заново устанавливать. Или я чего-то не догоняю...