» Microsoft ISA Server 2006/2004/2000 (Часть II)

IceFusion
Зачем тебе вообще это нужно?

Ну а как же кому-то давать интернет а кому то не давать, как же считать траффик для каждого пользователя??? И я что-то не понял комп на котором стоит ИСА должен быть в домене или нет???

IceFusion

Цитата:

И я что-то не понял комп на котором стоит ИСА должен быть в домене или нет???

и так и так можно настроить...

Да это блин не Керио все гораздо сложнее, а как мне разделить по пользователям домена доступ в интернет и траффик как посчитать, может где есть инструкция???

У меня ща ИСА работает она не в домене, просто создано правило что из внутренней сети во внешнюю разрешить всё, и весь офис в инете а как вот одним доступ дать, а другим не дать???

IceFusion
Если ISA 2004, то всё просто. Она же дружит с актив директори. Просто создаёшь правило: from Internal to External + Local Host, протоколы HTTP, HTTPS, ICQ, FTP (хватит, думаю), для Inet Users (эту группу создаёшь в процессе создания правила, в неё вносишь доверенных пользователей из AD). А для All Users создаёшь правило в котором разрешено всё. кроме упомянутых протоколов. Всё. Кто-то в нету, кто-то без. it's EaSy

Для этого мне нужно хзаново ИСУ переустановить и перед этим комп в домен включить или же я могу прям так взять и включить комп с Исой в домен???

Прям так и включай.

Спасибо!!! Попробую, но всё же интересно как сделать доступ по VPN в интернет, так чтобы у пользователей были свои пароли для интернета

Такая вот задача - стоит W3k with ISA 2004 std + SP1

Locals - router -- Isaserver -- router -- интернет

Применен шаблон Edge

Работает всё на ура - но заметил бяку - наутро связь с инетом отваливается...

Завел правило чтоб локалхост мог в инет вылезти на тачке с ISA-ой - залажу на любой сайт, вырубаю правило и тут же у всех начинает инет работать...

Я так понял сей глюк вылазит при простое исы т.е. ночью... никто не c таким не сталкивался???

Зы: ставить пинговалку не предлагать...

добрый день all! Извиняюсь но может где-то этот вопрос уже проскакивал но перечитать свыше 100 страниц уже становитьса не реально. Такая ситуация Win2k3 Sp1 + Isa2004ee + IIS6(на нем Project server 2002) Как рекомендуется после установки исы поменял порт для IIS на 81 к примеру. Администрирование Sharepoint и дочерних веб узлов работает без проблем но когда пытаешся подключится к проджекту http://server:81/projectserver/lgnps.asp - открывается окно для подключения! при вводе логина и пароля выдает Вход на сервер Microsoft Project Server в настоящее время невозможен. Повторите попытку позже. (5006) Может кто подскажет как вернуть роботоспособность проджекту?

http://www.studenikin.ru/ProgramDetail.asp?fn=SVAISASLogAnalizer
Программа предназначена для анализа логов MS ISA Server 2004/2000 (сервисов Web Proxy и Firewall), а также логов web-сервера (сервиса W3SVC). Формат анализируемых программой логов - W3C.
Программа позволяет получать суммарную и детализированную информацию за конкретную дату или диапазону дат по активности клиентов и посещаемости www-сайтов

10 САМЫХ АКТИВНЫХ ХОСТОВ

В CheckPoint есть опция - отобразить, например 10 самых активных хостов на текущий момент времени, чтобы поcмотреть, кто грузит канал. Как это сделать в Isa 2004 EE ???

Есть какие нить варианты?

flayx
1) штатным средством в онлайн никак.. репорты можно делать только минимум за 1 день.. так что по логам разве что
2) по хттп трафу картинку может дать GFI WebMonitor
3) впринципе немало и внештатных средств способных дать картинку..

Цитата:

1) штатным средством в онлайн никак.. репорты можно делать только минимум за 1 день.. так что по логам разве что

За 1 день? гм. хреново, а чем же тогда народ загрузку канала смотрит?

Цитата:

2) по хттп трафу картинку может дать GFI WebMonitor

Скачал, поставил. Да действительно, кто и куда "Active Connections" показывает в реальном времени. Огорчило только что все сайты в одну строчку пишет.
а можно это как нить отсортировать? А то 18 одинаковых ip на разные страницы - это перебор. То же самое и с "Url History".
И насчет картинки по загрузке канала не понял. Как ее посмотреть/сформировать?

Цитата:

3) впринципе немало и внештатных средств способных дать картинку..

Можно тебя попросить перечислить эти средства. Дальше буду сам копать..

Цитата:

За 1 день? гм. хреново, а чем же тогда народ загрузку канала смотрит?

monitoring -> Dashboard или Perfomance Log виндовский.. иса регистрирует свои объекты и каунтеры в этой системе


Цитата:

И насчет картинки по загрузке канала не понял

этот продукт не для нормального понятия мониторинга.. увы.. но смотреть кто куда зачем и чего подходит.. плюсам сразу банить оттуда же..


Цитата:

Можно тебя попросить перечислить

к примеру _http://www.netfeesoftware.com/NetFee/Index.htm

all
А как понять то, что у меня некоторый запросы идут на ису под логином анонимоуз? Например, аська так пытается ломануться в инет. Сервак её отшивает, так как разрешено пользоваться ею только избранным в актив директори, но никак не анонимоузам. Как сделать, чтобы все запросы шли с указанием имени усера домена? На компе с исой и домен-контроллер имеется.

Добавлено:
ЗЫ: А какие ещё есть анализаторы логов ИСЫ, окромя оной из поста dostalo и WrSpy (напрягает в описании слово "частичная поддержка ISA")?

kaskad

Цитата:

Как сделать, чтобы все запросы шли с указанием имени усера домена?

Настроить асю через прокси или поставить на клиентские компы ISA FireWall Client.

Цитата:

какие ещё есть анализаторы логов ИСЫ

Ну хотя бы Internet Access Monitor

Asker80
Так ставлю на все, млин. А один фиг много запросов неизвестных....

Ну, у меня было такое - IE настроен через прокси, и такая картина: при запросе страниц сначала идет анонимное соединение, сервак его отшивает, после этого уже с именем юзера и все пучком. Т.е. похоже он пытается сначала ломануться просто так, а когда получает в морду, выдает кредентиалсы (и, собственно, это правильно, не хватало еще, чтоб он по умолчанию пароли посылал без запроса). Но это через прокси, если через FWC, то такого быть не должно в принципе. Так что, если у тебя в асе настроен прокси, попробуй убрать и пусть напрямую работает.

Здрасти! Может немного не туда но всё же спрошу. Где можно взять готовые фильтры для резанья порнухи и банеров рекламы?!

SeT
Вот и меня этот вопрос сильно парит... Нмкто не делится.

kaskad
SeT

Вы че как дети малые? Кто Вам за просто так чего-то выложит.. и конце концов если вы админите то извольте головой думать..

Идете по ссылкам в шапке (например isaserver.org а там по форумам да по линкам)..
там находите например _http://www.isaserver.bm/destination_sets.html

этот сайт регулярно выкладывает domain/url сэты..

Цитата:

Sex Site URL's ( 1.39MB / 162699 URL's)
Porn Site URL's ( 1.6MB / 214835 URL's) 5 separate sets.
Porn Site Domains ( 2.32MB / 469759 Domains) 10 separate sets.
Advertisement Sites ( 257KB / 32709 Domains & URLs)
Online Dating Sites ( 4KB / 27381 Domains & URL's)
Online Chat Sites ( 3KB / 345 Domains & URL's)
Online Gambling Sites ( 29KB / 3858 Domains & URL's)
MSN Messenger Denied Advertisements ( 1KB / 14 URL's)

как работать с сетами написано в мануале..
по крайней мере заграничные баннеры да порнуху можно порезать (хоть что-то уже хорошо)

баннеры режутся закрытием баннерных сеток (в анализе поможет тот же самый webmonitor)

очень неплохо помогает слово banner в сигнатуре URL..

пару тройку дней потратить и баннеры исчезнут (в подовляющем большинстве и конечно с учетом наиболее посещаемых ресурсов пользователями)..

PS: кстати очень плохо что MS до сих пор не поддерживает регэкспы с сетах.. так бы хорошо было бы..

PS2: SurfControl.. хотя на мой взгляд слишком тяжеловесный продукт и дорогой..

MeGaBrAiN
Да как-то криво этот, млин, сёрфконтрол пашет. Например, трафик считает странно. Я в день по 200 мегов прог качаю, а он мне в репорте написал, что тока 183 метра потратил я в месяц... Поэтому и не верится. А на думанье головой часто времени нет. Поэтому и спрашиваю. А появляется это время уже поздно. Не надо так плохо сразу о людях думать-то.

kaskad

Цитата:

Не надо так плохо сразу о людях думать-то.

я не от плохого думанья о людях так говорю.. самому лень что-то придумывать когда много сторонних решений.. но на безрыбье и рак рыба.. и как говорил задорнов - "соображалка" это главное в русских мужиках


Цитата:

в день по 200 мегов прог качаю, а он мне в репорте написал, что тока 183 метра потратил я в месяц...

онож веб-фильтр.. траф то учитывается тока http-шный.. фтп он вроде как не контролирует, пиринг тоже

MeGaBrAiN

Цитата:

PS: кстати очень плохо что MS до сих пор не поддерживает регэкспы с сетах.. так бы хорошо было бы..

Ты не пог бы пояснить вот такой вопрос: с isaserver.org как-то стащил DesSet и в нем были вот такие строки

Цитата:

http://\w+.sh.cn
http://rape-(fantasy-pics|stories).(biz|com)
http://ragazze-?\w+.[a-z]{2,}

Судя по ним ISA поддерживает regexp'ы. Но прикрутить что-либо подобное у себя на серваке
не получилось Так поддерживает все-таки ISA regexp'ы или нет ?

А почему ИСА не правильно обрабатывает правила??? Мне нужно было сделать доступ тока к ICQ POP и SMTP, создал правило которое разрешает всем эти сервисы... птоом сделал правило которое разрешает интернет избранным пользователям, включаю правила и инет отрубается вообще, т.е. Firewall клиенты нормал, а SecureNAT не хотят работать??? Как сделать чтобы разрешался только POP, ICQ, SMTP для SecureNAT клиентов, и какие фильтры вклюить там надо.... Может какие нить фильтры типа DNS нужны??? Я пока не вник в то как ISA работает, сложный он!

GastonR
нет не поддерживает.. там судя по всему работает какой-то либо сторонний фильтр берущий данные из дестинейшн сетов..

А мне кто нить поможет???

Что за трабл? не запускается консоль ISA Server Management. Выдает
ISA Server Error
"Refresh Failed"

Error: 0x800401f3

IceFusion
скриншот правил в студию + как сети настроены в интернал и т.д.