В сети настроен гл. прокси сервер (ИСА 2000) на нем все правила, он открывает доступ в инет и к почте для нескольких подсетей, все подсети удалены др. от др. и соединяются с прокси ч.з. маршрутизатор и модемы АДСЛ. Я обслуживаю подсети 192.168.4, 192.168.5 и 192.168.6 (в них находится мой контроллер домена), соединений с прокси происходит ч.з. шлюз, на этом шлюзе я настроил ИСА 2004 с авторизацией по пользователям своего домена, для не авторизованных запрещен доступ к web, но к почте открыт (почта настроена на главном прокси). В конце каждого дня сверяю суммарный трафик зарегистрированный на моем прокси для авторизованных юзеров (таблица webproxylog) и траффик к-й зарегистрирован в гл. прокси для ip-шника моего прокси, и эта цифра не сходится, по логам гл. прокси ч.з. мой прокси прошло больше трафика примерно на 20% чем зарегистрировано для авторизованных юзеров. Проверяю таблицу webproxylog на своем прокси и вижу что есть записи для анонимных пользователей, причем в Action = denied, а bytessent и bytesrecvd не равны 0, короче доступ не авториз. закрывается но трафик почему то пропускается (учитывается) как на моем прокси так и на главном.
» Microsoft ISA Server 2006/2004/2000 (Часть III)
Вопрос по ИСЕ 2006
Нужно заблокировать доступ с определенных компьютеров в интернет на основании их имени, а не IP адресу, поскольку IP адреса назначаются службой DHCP и поэтому постоянно меняются.
Как это реализовать?
Нужно заблокировать доступ с определенных компьютеров в интернет на основании их имени, а не IP адресу, поскольку IP адреса назначаются службой DHCP и поэтому постоянно меняются.
Как это реализовать?
meskalin13
Учить меня как это сделать не нужно, я пишу, что мне лень их отыскивать в логах. Особенно, если я уверен, что кто то эту работу уже делал
123Maximus123
На той конторе я не ставил фаервол клиентов, за что заплатили, то и сделал
Alex_H_aka_RAT
Спасибо
А по mail.ru агенту не чего нет?
Добавлено:
axit
Если есть домен и DHCP регистрирует компы в DNS, то можно попробовать блокировать через Domain Name Sets, вносить туда компы полным именем [имя компа].[домен]
Но вначале попробуй пингонуть ping [имя компа].[домен], если IP определился, то должно работать
Добавлено:
axit
Упс, только что посмотрел, во From нельзя добавить Domain Name Sets, тогда только один вариант увеличивать время жизни DHCP адресов и блокировать по IP, я так и делаю
Учить меня как это сделать не нужно, я пишу, что мне лень их отыскивать в логах. Особенно, если я уверен, что кто то эту работу уже делал
123Maximus123
На той конторе я не ставил фаервол клиентов, за что заплатили, то и сделал
Alex_H_aka_RAT
Спасибо
А по mail.ru агенту не чего нет?
Добавлено:
axit
Если есть домен и DHCP регистрирует компы в DNS, то можно попробовать блокировать через Domain Name Sets, вносить туда компы полным именем [имя компа].[домен]
Но вначале попробуй пингонуть ping [имя компа].[домен], если IP определился, то должно работать
Добавлено:
axit
Упс, только что посмотрел, во From нельзя добавить Domain Name Sets, тогда только один вариант увеличивать время жизни DHCP адресов и блокировать по IP, я так и делаю
123Maximus123
эта статья просто рассказывает как блокировать лохов которые юзают стандартные клиенты. запрет екзешника в fwc результа не даст, ибо екзешник может быть другим (миранда например
)), такие как msn могут проходить через исашную прокси без проблем так что запрет в fwc тоже не пролечит
запрещать надо серваки, для таких служб как icq их достаточно много, двумя icq&aol подсетями уже не обойдешься.
axit
никак
rijk
в поле from нельзя добавлять domain name set, только те типы сетевых обьектов что содержат ip
mra проще всего, у них только один сервис mrim.mail.ru
эта статья просто рассказывает как блокировать лохов которые юзают стандартные клиенты. запрет екзешника в fwc результа не даст, ибо екзешник может быть другим (миранда например
)), такие как msn могут проходить через исашную прокси без проблем так что запрет в fwc тоже не пролечит запрещать надо серваки, для таких служб как icq их достаточно много, двумя icq&aol подсетями уже не обойдешься.
axit
никак
rijk
в поле from нельзя добавлять domain name set, только те типы сетевых обьектов что содержат ip
mra проще всего, у них только один сервис mrim.mail.ru
Подскажите, может ли сервер ISA 2006 являться одновременно терминальным сервером? (опубликовать rdp сервер). Клиентов будет маскимум 2. Если да, то какие возможны косяки?
Markes
может, только публиковать ничего не надо, просто разрешить rdp на ису.
собственно для двух юзеров и терминальный сервер не надо поднимать, win2003 по умолчанию позволяет 2 сессии + консольная
может, только публиковать ничего не надо, просто разрешить rdp на ису.
собственно для двух юзеров и терминальный сервер не надо поднимать, win2003 по умолчанию позволяет 2 сессии + консольная
hardhearted
Цитата:
Спасибо за ликбез. Подниму на случай непредвиденного роста rdp-юзеров.
Цитата:
собственно для двух юзеров и терминальный сервер не надо поднимать, win2003 по умолчанию позволяет 2 сессии + консольная
Спасибо за ликбез. Подниму на случай непредвиденного роста rdp-юзеров.
Братья привет,
ISA 2006
задача -- 3 внешних сетевых интерфейса + 1 на внутреннюю сеть.
если падает какщй либо внешний канал , есть ли возможность перенаправить автоматом на любой из внешниз который рабочий.
Если все каналы рабочие то разделять трафик ---- 1 канал терминал
2 канал почта ну третий интернет. Где можно почитать и какую ису использовать интерпрайс или стандарт , есть ли документация на руском.
Буду благодарен за информацию и ссылочки.
Суважением Евгений
ISA 2006
задача -- 3 внешних сетевых интерфейса + 1 на внутреннюю сеть.
если падает какщй либо внешний канал , есть ли возможность перенаправить автоматом на любой из внешниз который рабочий.
Если все каналы рабочие то разделять трафик ---- 1 канал терминал
2 канал почта ну третий интернет. Где можно почитать и какую ису использовать интерпрайс или стандарт , есть ли документация на руском.
Буду благодарен за информацию и ссылочки.
Суважением Евгений
ogenbt
из всего это через скрипты реализуемо только первое, весь инет будет идти через один канал, вслучае потери соединения (как это определять решать тебе) скрипт переписывает DG на другого прова
все остальное винда не умеет.
Добавлено:
ogenbt
хотя разделить можно но через одно место
например весь веб пустить через прокси и заюзать web chaining, для этого тебе нужен внешний надежный прокси на который будет статический маршрут через третий канал (или поставить еще одну проксю которая будет всегда сидеть на треьем канале)
если терминалы идут на конкретные заранее известные адреса то также их можно выкинуть в отдельный канал через статические маршруты
ну а почта будет всегда идти по DG, который в случае отвала будет меняться
из всего это через скрипты реализуемо только первое, весь инет будет идти через один канал, вслучае потери соединения (как это определять решать тебе) скрипт переписывает DG на другого прова
все остальное винда не умеет.
Добавлено:
ogenbt
хотя разделить можно но через одно место
например весь веб пустить через прокси и заюзать web chaining, для этого тебе нужен внешний надежный прокси на который будет статический маршрут через третий канал (или поставить еще одну проксю которая будет всегда сидеть на треьем канале)
если терминалы идут на конкретные заранее известные адреса то также их можно выкинуть в отдельный канал через статические маршруты
ну а почта будет всегда идти по DG, который в случае отвала будет меняться
hardhearted
СПАСИБО,
А где про ето можно прочесть в деталях , подробнее
сенкс
СПАСИБО,
А где про ето можно прочесть в деталях , подробнее
сенкс
ogenbt
про web chaining в книге или хелпе про ису, собственно эта такая простая вешь что даже и читать не надо, просто в исе ткнуть туда мышой а там и мартышке станет все понятно
про роутинг в любой книге про винду (роутинг это работа винды а не исы), собственно route add /? достаточно набрать и там все есть
а скрипт для переключения dg мона самому написать а мона поискать в инете их там кучи
собственно если надо переключать при отвале именно канала до прова то достаточно указать несколько dg с разными метриками, но это сработает тока когда реально пропадет линк до оборудования провайдера, а если до прова линк живой а у самого прова проблемы то это не поможет. в таком случае самое простое это поставить на исе connectivity verifier а на его алерт повесить скрипт по смене dg
про web chaining в книге или хелпе про ису, собственно эта такая простая вешь что даже и читать не надо, просто в исе ткнуть туда мышой а там и мартышке станет все понятно
про роутинг в любой книге про винду (роутинг это работа винды а не исы), собственно route add /? достаточно набрать и там все есть
а скрипт для переключения dg мона самому написать а мона поискать в инете их там кучи
собственно если надо переключать при отвале именно канала до прова то достаточно указать несколько dg с разными метриками, но это сработает тока когда реально пропадет линк до оборудования провайдера, а если до прова линк живой а у самого прова проблемы то это не поможет. в таком случае самое простое это поставить на исе connectivity verifier а на его алерт повесить скрипт по смене dg
Поставил ISA2000, пока с минимальными настройками (всегда для всех).
Как красивше всего сделать, чтобы те пользователи, которые заходят с доменных машин, авторизовались на прокси по своему имени (под которым в домен входят), причем авторизовались автоматически (без ввода имени/пароля для прокси в браузере), т.е. в ISA нужно завести таких же юзеров без паролей, но что дальше. Второе - те компы, которые в домен не входят, должны авторизоваться по IP-адресу, независимо от юзера.
Как красивше всего сделать, чтобы те пользователи, которые заходят с доменных машин, авторизовались на прокси по своему имени (под которым в домен входят), причем авторизовались автоматически (без ввода имени/пароля для прокси в браузере), т.е. в ISA нужно завести таких же юзеров без паролей, но что дальше. Второе - те компы, которые в домен не входят, должны авторизоваться по IP-адресу, независимо от юзера.
Такая вот засада бьюсь вторую неделю не могу опубликовать внутренний web сервер
Win2003, ISA 2004 SP3, два интерфейса на ИСЕ внутр и наруж
ВЕБ сервер IIS6 на внутреннем интерфейсе
Внутри сервер отзывается на www.bgp.local в ДНС внутреннем все прописано и все работает,
снаружи в днс прописано www.bgp.by и конечная точка мой внешний IP
Пытаюсь публиковать уже пробовал по разному и по Шиндеру и по нетовским статьям
но в ответ лишь одно
2007-08-16 13:51:35 TCP 86.57.146.2:3418 217.21.50.102:80 86.57.146.2 External Local Host Denied 0xc004000d [Enterprise] Default rule HTTP 0 0 0 0 - - - - 0 0
Win2003, ISA 2004 SP3, два интерфейса на ИСЕ внутр и наруж
ВЕБ сервер IIS6 на внутреннем интерфейсе
Внутри сервер отзывается на www.bgp.local в ДНС внутреннем все прописано и все работает,
снаружи в днс прописано www.bgp.by и конечная точка мой внешний IP
Пытаюсь публиковать уже пробовал по разному и по Шиндеру и по нетовским статьям
но в ответ лишь одно
2007-08-16 13:51:35 TCP 86.57.146.2:3418 217.21.50.102:80 86.57.146.2 External Local Host Denied 0xc004000d [Enterprise] Default rule HTTP 0 0 0 0 - - - - 0 0
Столкнулся с такой проблемой: После перезагрузки прокси отваливается инет. Причем как-то странно - если вырубить внутреннюю сетевуху, то с прокси все работает нормально. Временно реши проблему сначала выставив на внутренней сетевухе автоматическое получение адреса, а затем вернув обратно статический адрес. После перезагрузки в логах появляются записи об ошибке выделения ресурсов:
Описание: Фильтр веб-прокси не смог связать свой сокет с 10.*.*.* порт 80. Это может быть вызвано другой службой, которая уже использует тот же порт, или сетевой платой, которая не работает. Для устранения неполадки перезапустите службу межсетевого экрана Microsoft. Код ошибки, указанный в области данных свойств события, обозначает причину ошибки.
Сбой произошел из-за ошибки: 0x8007271d
Смотрел листинг портов - на этом порту висит тока сама прокся...
Помогите советом!!!
Описание: Фильтр веб-прокси не смог связать свой сокет с 10.*.*.* порт 80. Это может быть вызвано другой службой, которая уже использует тот же порт, или сетевой платой, которая не работает. Для устранения неполадки перезапустите службу межсетевого экрана Microsoft. Код ошибки, указанный в области данных свойств события, обозначает причину ошибки.
Сбой произошел из-за ошибки: 0x8007271d
Смотрел листинг портов - на этом порту висит тока сама прокся...
Помогите советом!!!
Имеется головной офис и филиал, в обоих установленна ISA 2006 Standart Eng.
Хочу соединить их по схеме site-to-site.
Создал в головном офисе vpn сеть через мастер "site-to-site" прописал все настройки.
Знаю в enterprise версии есть мастер, находится он в c:/program files/isa server/A2uth.exe (что то этого в имени файла). Но в стандарт версии этого мастера нет.
Вопрос: Какие действия необходимо проделать на стороне ISA филиала?
Хочу соединить их по схеме site-to-site.
Создал в головном офисе vpn сеть через мастер "site-to-site" прописал все настройки.
Знаю в enterprise версии есть мастер, находится он в c:/program files/isa server/A2uth.exe (что то этого в имени файла). Но в стандарт версии этого мастера нет.
Вопрос: Какие действия необходимо проделать на стороне ISA филиала?
roman nelish
и тут ты этчепуху спрашиваешь, я уже на другом форуме ответил, site-to-site настраивается на одной вкладке (VPN - remote sites)
и тут ты этчепуху спрашиваешь, я уже на другом форуме ответил, site-to-site настраивается на одной вкладке (VPN - remote sites)
Может кто знает как в ISA 2006 сделать так:
просто я раньше пользовался Kerio , a теперь решил с ISA поиграться,
а как сделать пока, не понял , может кто подскажет ?
а то в ISA только публикация есть.
просто я раньше пользовался Kerio , a теперь решил с ISA поиграться,
а как сделать пока, не понял , может кто подскажет ?
а то в ISA только публикация есть.
lloyd
если ты вместо картинки из неизвестного многим продукта еще по русски скажешь что ты хочешь то возможно тебе и ответят.
если ты вместо картинки из неизвестного многим продукта еще по русски скажешь что ты хочешь то возможно тебе и ответят.
Есть центральный офис- Domen,AD,DNS,DHCP, ISA2006 в домене(не DC). Возникла необходимость подключения складов для 1С. Работа предпологается в терминале. Но не хотелось бы выставлять терминальный сервер в нет (руководство требует безопасности). Может кто-то делал что-то подобное? Поделитесь плиз схемой реализации.
Antdik
варианта два
1. банальный впн
2. банальная публикация терминального сервера
первый безопаснее, ибо впн есть впн.
варианта два
1. банальный впн
2. банальная публикация терминального сервера
первый безопаснее, ибо впн есть впн.
собственно есть вопрос по поводу ВПН карантина
есть такая чудесная програмулька
http://www.winfrasoft.com/vpnq.htm
кто нибудь реализовывал у себя данное создание
либо какие есть альтернативы данной программе
есть такая чудесная програмулька
http://www.winfrasoft.com/vpnq.htm
кто нибудь реализовывал у себя данное создание
либо какие есть альтернативы данной программе
Провайдер при раздаче инета использует vpn-подключение, инструкция здесь: http://www.telenet.ru/kabinet/index.pl?id=2270. Стандартная схема, но на машине, где будет использоваться данное подключение необходимо ставить ISA (2006).
Вопрос: каким образом надо ISA "рассказать" про этот vpn и как сделать, чтобы подключение было автоматическим при включении машины?
Вопрос: каким образом надо ISA "рассказать" про этот vpn и как сделать, чтобы подключение было автоматическим при включении машины?
Markes
создается подключение не в исе, а в винде, как всегда
а дальше в исе general, specify dial-up preferences
создается подключение не в исе, а в винде, как всегда
а дальше в исе general, specify dial-up preferences
hardhearted
Цитата:
И всё? Никаких подводных камней?
Цитата:
создается подключение не в исе, а в винде, как всегда
а дальше в исе general, specify dial-up preferences
И всё?
Никаких подводных камней?Markes
Цитата:
подводные камни бывают тока в водоемах, а в исе бывает недостаток знаний, кривые руки и баги)
а на деле понятия не имею, я слава богу никогда не видел ни на одной из работ чтобы юрлицо подключали по впн, и тем более никогда не делал это на исе и надеюсь никогда не придется. все что я написал взято из хелпа.
Цитата:
Никаких подводных камней?
подводные камни бывают тока в водоемах, а в исе бывает недостаток знаний, кривые руки и баги
) а на деле понятия не имею, я слава богу никогда не видел ни на одной из работ чтобы юрлицо подключали по впн, и тем более никогда не делал это на исе и надеюсь никогда не придется. все что я написал взято из хелпа.
hardhearted
Цитата:
Я тоже редко такое вижу, но по крайней мере двух провов из славных городов Чита и Е-бург могу подсказать
Цитата:
а на деле понятия не имею, я слава богу никогда не видел ни на одной из работ чтобы юрлицо подключали по впн
Я тоже редко такое вижу, но по крайней мере двух провов из славных городов Чита и Е-бург могу подсказать
Markes
Цитата:
Я столкнулся с подводными камнями и при чем в больших количествах, правда было это на ISA2004SP2, может они чего поправили
1. Если делаешь простое подключение, то иса блокирует сетевую активность на External пока не подключится к VPN, а так как для этого и нужна сеть, то находится в блокировке постоянно
Решение: Делаем Network с именем провайдера и всеми ip прова
Ура!!! Подключение заработало
2. Но тут возникает новая проблема, сбой связи с провайдером, если на пару секунд, то ISA ещё справляется и переконектится, но вот если на пару минут, опять полный ступор - выбивает службу Microsoft Firewall.
Решение: что я только не пробовал, так и не нашел, использую для подключения сторонние программы
Цитата:
hardhearted
Цитата:создается подключение не в исе, а в винде, как всегда
а дальше в исе general, specify dial-up preferences
И всё? Никаких подводных камней?
Я столкнулся с подводными камнями и при чем в больших количествах, правда было это на ISA2004SP2, может они чего поправили
1. Если делаешь простое подключение, то иса блокирует сетевую активность на External пока не подключится к VPN, а так как для этого и нужна сеть, то находится в блокировке постоянно
Решение: Делаем Network с именем провайдера и всеми ip прова
Ура!!! Подключение заработало
2. Но тут возникает новая проблема, сбой связи с провайдером, если на пару секунд, то ISA ещё справляется и переконектится, но вот если на пару минут, опять полный ступор - выбивает службу Microsoft Firewall.
Решение: что я только не пробовал, так и не нашел, использую для подключения сторонние программы
rijk
Цитата:
Не подскажешь какие?
Цитата:
что я только не пробовал, так и не нашел, использую для подключения сторонние программы
Не подскажешь какие?
Приветствую коллеги!
Подскажите плиз есть ли возможность в ISA2006 прописать NAT pool не для VPN соединений, а обычных?
Облазил всю консольку - не нашел где. Может это надо делать в RRAS, но он вырублен при установленной ISA2006. А то есть у меня сетка С, а клиенты выходят наружу только под одним адресом (внешнего инт. ISA), подскажите как полечит?
Подскажите плиз есть ли возможность в ISA2006 прописать NAT pool не для VPN соединений, а обычных?
Облазил всю консольку - не нашел где. Может это надо делать в RRAS, но он вырублен при установленной ISA2006. А то есть у меня сетка С, а клиенты выходят наружу только под одним адресом (внешнего инт. ISA), подскажите как полечит?
Страницы: 1234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950515253545556575859606162636465666768
Предыдущая тема: Проблемы с выходом в Интернет
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.