» Microsoft ISA Server 2006/2004/2000 (Часть III)

hardhearted
Какие например? У меня стоит чистая icq(т.е. не miranda, не quip).

Есть контроллер домена с двумя интерфейсами, там же DNS и Isa2004.

Нужно пропускать в обе стороны NetBios для локальной сети (то есть LocalHost <-> Internal) и видеть список компьютеров внешней сети, заходить на них и видеть их ресурсы, но чтобы с компьютеров внешней сети не виден был сервер, ни его имя, и чтобы зайти на него нельзя было.

Для этого есть три протокола: NetBios Datagram, NetBios Name Service и NetBios Session.

По каким направлениям и в какой комбинации их использовать (с учетом наличия 21 системного правила в Isa - Allow NetBios from Isa to trusted servers, там все эти протоколы от LocalHost к Internal) ?

И обязательно ли для этого использовать Microsoft CIFS (UDP) и Microsoft CIFS (TCP) ?

Lykym
это не "чистая" icq, это называется mirabilis icq, она до сих пор не поддерживает integrated authentication через прокси, так что либо включай на исе basic authentication, либо не юзай прокси и ставь fwc, либо используй вышеупомянутые miranda или qip, они умеют

Добавлено:
Vxd2000
учитывая постановку задачи

Цитата:

Нужно пропускать в обе стороны NetBios для локальной сети (то есть LocalHost <-> Internal)

то все 5 протоколов разреши из internal к localhost и обратно
и эти же 5 протоколов открой от localhost в external

Настроил на ISA выход в интернет через FWC(+ пока работает выход через web-proxy). Теперь на шлюзе рубятся внешние пакеты! Настроил кеширующий прокси. Прописал прокси в свойствах соединения IE м тоже не пускает!! Как обойти данную проблему?


Интернет на шлюзе нужен для обновление антивиря.

hardhearted, протоколы Microsoft CIFS обязательны ?
На какой они вообще нужны ?

ребята помогите нубу.

можно ли гдето достать список бед сайтов, бед ip. и т.д. что в фильтры поставить.
в инете ищу чтото не туда поподаю или не то ищу.

Vxd2000

Цитата:

Нужно пропускать в обе стороны NetBios для локальной сети (то есть LocalHost <-> Internal) и видеть список компьютеров внешней сети, заходить на них и видеть их ресурсы, но чтобы с компьютеров внешней сети не виден был сервер, ни его имя, и чтобы зайти на него нельзя было.

вообще то сказанного вами недостаточно - браузинг сети определяется наличием в сети соот-го "мастера" (мастер браузер и соот-я служба "обозревателя сети"). Соот-но надо смотреть где она у вас распологается в зависимости от ваших сетей и как клиенты в разных сетях формируют эти списки. Если эта роль висит то контроллере - что по факту есть неправильно, т.к. мастер браузер не желателен как "мультихомед" машина (как вобщем то и контроллер) - то там надо выставлять приоритет в сетках - в какую он будет посылать запросы-ответы по формированию списка (сетевые соеденения - advanced- advanced settings)
есть соот-я тема: http://forum.ru-board.com/topic.cgi?forum=8&bm=1&topic=2161&start=140#lt
По пунктам "видеть самому но при этом что бы не видели другие" - это не прокатит. Если ваша тачка настроена на использование мастер-браузера в какой-то сети - скажем в экстернеле, то в интернеле она уже ничего не увидит. Т.е. сделать это одновременно в нескольких подсетях не получится ввиду самого принципа работы самой службы браузинга, afaik

Цитата:

Для этого есть три протокола: NetBios Datagram, NetBios Name Service и NetBios Session

для непосредственно разрешения имён протокол один - тот который по 137 порту работает, если мне память не изменяет (и правильно его открывать именно в систем полиси), просто ввиду у вас мульти-хоум машины (т.е. с неск сетевыми интерф) не факт что это сетевое окруженеи будет работать в обоих сетях... (imho в двух сетях вообще не будет )
Цитата:

И обязательно ли для этого использовать Microsoft CIFS (UDP) и Microsoft CIFS (TCP)

для браузинга - нет, это протоколы для передачи файлов - в инете полно описалова по ним

hardhearted

Цитата:

о все 5 протоколов разреши из internal к localhost и обратно
и эти же 5 протоколов открой от localhost в external

порты то он откроет, только сама тачка afaik будет работать только в одной сети как мастер-браузер (и соот-но видеть список этой сети)


Из ссылки выше:
Цитата:

Для видимости компьютеров в "Сетевом окружении" (т.е. нормальной работы распределенной службы браузинга) в сети, разбитой на подсети, как минимум надо:
- Доменная организация компьютеров в сети (необязательно всех), так как только доменный мастер браузер (т.е. первичный контроллер домена или его эмулятор) обладает функцией сбора воедино всех списков "серверов" данного домена из разных подсетей;
- Доменный мастер браузер не должен быть multihomed (упрощенно - один IP интерфейс);
- Любой мастер браузер не должен быть multihomed (упрощенно - один IP интерфейс);
- Весьма желательно наличие сервера WINS (не обязательно по одному в каждой подсети), хотя при некоторых условиях и очень хорошем понимании работы службы браузинга можно обойтись без WINS, используя только файлы lmhosts;
- Весьма желательно, чтобы сервер WINS не был multihomed;

и там далее по тексту

RXLayer
ты сам то понял что написал? какие еще внешние пакеты, откуда и куда они идут и зачем?

greenfox
я говорил тока о том какие протоколы и в какие стороны надо открывать, вопросы master browser уже не для этого топика, где он расположен и как работает уже проблемы не исы.
Vxd2000
протоколы CIFS необязательны, но виндой часто используются вместо netbios, для внутренней сетки лучше открыть, учитывая что иса у тебя еще и контроллер.

Вводная: ISA 2004 SP3; два пользователя, один из них входит в группу "Интернет"; удаленный ФТП-сервер с авторизацией по логину и паролю.

Пользователь 1 (входит в группу "Интернет"), пытаясь получить листинг сервера, получает ошибку "Время ожидания ответа истекло..." (применялся IE6 SP1). FlashFXP ссылается на "Connection failed...". Правило ISA сервера содержит указание на доменную группу пользователей "Интернет".
Пользователь 2 может получить доступ к серверу при помощи IE6, Opera и упомянутого выше FlashFXP. Правило ISA сервера содержит "computers set" (содержит ПК, на котором работает Пользователь 2) и не требует от пользователя входить в состав группы "Интернет". В остальном правила идентичные.

Решение, лежащее на поверхности: включить ПК первого пользователя в тот же "computers set" непохоже на изящное и правильное.

В какую сторону погуглить?

reff
предположу что на авторизацию
и "неплохим хоть и не изящным" считается смотреть лог и писать его сюда с подробностями ибо фраза "Правило ISA сервера содержит указание на доменную группу пользователей "Интернет". " не о чём и не говорит

hardhearted

Цитата:

RXLayer
ты сам то понял что написал? какие еще внешние пакеты, откуда и куда они идут и зачем?

Следует читать как исходящие пакеты.

gespenstern
достань Proxy Inspector for ISA и так же сможешь логи смотреть(можно не через sql)

Ребята где в Исе открыть порт для почты ?
Дали программу по бухгалтерии для отправки отчетов... настроек вобще там минимум... я так понял понял что через порт 20 отправка а прием ?
Вобщем где в Исе открыть эти порты ?

Цитата:

вообще то сказанного вами недостаточно - браузинг сети определяется наличием в сети соот-го "мастера" (мастер браузер и соот-я служба "обозревателя сети").

Про это, в курсе.
Внешняя сеть, в данном случае "провайдерская" , то есть сеть, в которой находятся компьютеры подключенные к провайдеру (читай домовая или мульти домовая сеть) , есть же еще внутренняя сеть (моя сеть) .

Исходя из вышесказанного, для компьютеров из внешней сети мой сервер не должен быть masterbrowser' ом, он должен быть им только для компьютеров внутренней сети.
Что стоит в настройках компьютеров внешней сети, мне пофиг.

У меня в настройках DC стояло IsDomainMaster=False, поставил True (для эксперимента) , и MaintainServerList=Yes, на клентах все стоит по умолчанию (что и стояло с установки ОС на них) .

В сетевых поключениях первым естественно (в данном случае) стоит Local соединение, вторым Internet соединение.

Знаю, что ни DCS (domain controller server), ни DNS, ни Wins, не желательно, чтобы они были multhihomed, только держать в сети 3 сервера (DCS, DNS и шлюз с Isa) , сеть ни того размера и бюджет для этого раздувать нет смысла.
И Wins не стоит вообще.

Добился того (пока экспериментировал в локальной сети только) , что сервер виден в сетевом окружении (и серевера и клиентов) , но клиенты доступа к нему не имеют и сделал наоборот, не виден сервер, клиенты доступ к нему имеют (по \\имя_сервера) , но есть 2 "но" , как бы их еще "побороть" :
1. Сервер не виден как в сетевом окружении клиентов, так и в собственном сетевом окружении, нужно, чтобы в собственном был виден;
2. Клиенты не имееют доступа в группу (и соответственно не видят ни список компьютеров группы, ни себя в сетевом окружении) , то например, зашли на сервер по \\имя_сервера, потом при попытке подняться на "уровень выше" облом или при "отображить все компьютеры рабочей группы" , "нет доступа" .

При этом вижу в окружении компьютеры внешней группы (пока только на сервере) , могу на них зайти, но пока не знаю, видят ли они меня или нет (не было возможности проверить) .

И еще один момент (не связанный с вышеобсуждаемым) : та же конфигурация с 2 сетевыми картами, одна Lan, другая Wan, стоит Isa2004, включен Nat, клиенты поключены как SecureNat (выключен и Proxy и FireWall клиенты) .

Для доступа клиентов в Internet прописано правило Internal <-> External.

Может ли провайдерский шлюз определить, что к нему пришел пакет не с LocalHost, а именно от одного из клиентов (внутренней сети) , тот есть что в Internet, грубо говоря, выходят не с LocalHost, а с какого - то компьютера во внутренней сети ?

Vxd2000

Цитата:

Знаю, что ни DCS (domain controller server), ни DNS, ни Wins, не желательно, чтобы они были multhihomed, только держать в сети 3 сервера (DCS, DNS и шлюз с Isa) , сеть ни того размера и бюджет для этого раздувать нет смысла.
И Wins не стоит вообще.

сколько машин в сети локальной?
И почему 3? Логичным было бы поставить ИСУ отдельно (если она вообще нужна - от размеров зависит и юзаете ли вы АД), а на втором сервере всё остальное - DC и DNS вообще по факту вместе работают всегда (станд конфигурация), wins, dhcp вешается туда же - станд конф. И того 2 компа. Внутри все всё видят т.к. мастер-браузер делаем только DC (груп политиками или ещё чем)
Цитата:

Добился того (пока экспериментировал в локальной сети только) , что сервер виден в сетевом окружении (и серевера и клиентов) , но клиенты доступа к нему не имеют и сделал наоборот, не виден сервер, клиенты доступ к нему имеют (по \\имя_сервера) , но есть 2 "но" , как бы их еще "побороть" :
1. Сервер не виден как в сетевом окружении клиентов, так и в собственном сетевом окружении, нужно, чтобы в собственном был виден;
2. Клиенты не имееют доступа в группу (и соответственно не видят ни список компьютеров группы, ни себя в сетевом окружении) , то например, зашли на сервер по \\имя_сервера, потом при попытке подняться на "уровень выше" облом или при "отображить все компьютеры рабочей группы" , "нет доступа" .

При этом вижу в окружении компьютеры внешней группы (пока только на сервере) , могу на них зайти, но пока не знаю, видят ли они меня или нет (не было возможности проверить) .

вы тут что-то намутили - то что вы видете комп внешней группы означает что шлюз ваш (если видете с него) зарегестрировался и юзает мастер-браузер с внешней сети. Отключите "use netbios over tcp\ip" в настройках внешнего соединения (т.е. это отключит вообще возможность вас видеть по netbios снаружи - нах=ся в св-вах tcp\ip). Соот-но на внутрен интерфейсе это должно быть включено
Далее смотрите что вы там поразрешали на исе - явно открыли доступ не с интернал а с экстернал и т.д. Видемость определяется систем-м правилом (хотя можно и отдельно его забацать)
Цитата:

Может ли провайдерский шлюз определить, что к нему пришел пакет не с LocalHost, а именно от одного из клиентов (внутренней сети) , тот есть что в Internet, грубо говоря, выходят не с LocalHost, а с какого - то компьютера во внутренней сети ?

впринципе да - простейший вариант по полю TTL, есть и ещё другие возможности :Я) На форуме есть соот-я ветка


Добавлено:
IeugeniyI
стандарт на выход 25 порт. Приём 110..
программа дипост?

Цитата:

сколько машин в сети локальной?
И почему 3? Логичным было бы поставить ИСУ отдельно (если она вообще нужна - от размеров зависит и юзаете ли вы АД), а на втором сервере всё остальное - DC и DNS вообще по факту вместе работают всегда (станд конфигурация), wins, dhcp вешается туда же - станд конф. И того 2 компа. Внутри все всё видят т.к. мастер-браузер делаем только DC (груп политиками или ещё чем)

Где - то читал, что лучше DNS тоже отдельно держать (от DC) , но в принципе, стандартная конфигурация.

В локальной пока 5 (без сервера), планируется еще парочка.


Цитата:

Отключите "use netbios over tcp\ip" в настройках внешнего соединения (т.е. это отключит вообще возможность вас видеть по netbios снаружи - нах=ся в св-вах tcp\ip).

Это разве не отключит "видимость" внешних компьютеров в сетевом окружении ?

И что тогда поставить True или False в IsDomainMaster ?


Цитата:

впринципе да - простейший вариант по полю TTL, есть и ещё другие возможности :Я) На форуме есть соот-я ветка

Под каким именем или по какому адресу ?

Средствами Isa можно замаскировать пакеты, чтобы они были 100 % от LocalHost' a ?


Добавлено:
Возможна "полная маскировка" при Proxy, но не охота его включать в Isa.


Цитата:

вы тут что-то намутили - то что вы видете комп внешней группы означает что шлюз ваш (если видете с него) зарегестрировался и юзает мастер-браузер с внешней сети. Отключите "use netbios over tcp\ip" в настройках внешнего соединения (т.е. это отключит вообще возможность вас видеть по netbios снаружи - нах=ся в св-вах tcp\ip). Соот-но на внутрен интерфейсе это должно быть включено
Далее смотрите что вы там поразрешали на исе - явно открыли доступ не с интернал а с экстернал и т.д. Видемость определяется систем-м правилом (хотя можно и отдельно его забацать)

Да, у меня сейчас явным образом открыты 3 NetBios протокола LocalHost -> Internal, LocalHost -> External, и 2 из 3 NetBios протоколов Internal -> LocalHost и External -> LocalHost.

Есть еще 3 NetBios протокола Internal -> External и 2 из 3 External -> Internal, но на компьютерах внутренней сети рабочие группы/компьютеры внешней сети пока не отображаются (что - то похоже с маршрутизацией) .

Цитата:

Ребята где в Исе открыть порт для почты ?
Дали программу по бухгалтерии для отправки отчетов... настроек вобще там минимум... я так понял понял что через порт 20 отправка а прием ?
Вобщем где в Исе открыть эти порты ?

Цитата:

IeugeniyI
стандарт на выход 25 порт. Приём 110..
программа дипост

Программа ИСА 2006....
что то я не понял что за дипост...
дык кто то подскажет как открыть эти порты..
ребята плиз.... а то сроки поджимают !!!
пожалуйста

Vxd2000

Цитата:

Где - то читал, что лучше DNS тоже отдельно держать (от DC)

lol Этот мегамануал в сттудию Контроллер домена прекрано работает на одной тачке с ДНС. И это именно штатная конфигурация, а уж при 5 компах то тем более.
Цитата:

В локальной пока 5 (без сервера), планируется еще парочка

и зачем вам иса при таком кол-ве машин? И домен с контроллером вообще зачем? Имхо всё лишнее - простейший делинковский роутер с хабом и будем вам счастье. Стоит это куда дешевле 2-х серверов (но тема конечно для отдельной ветки)
Цитата:

Это разве не отключит "видимость" внешних компьютеров в сетевом окружении ?

а вам их надо видеть? Тогда отпадёт внутренняя сеть - она не будет видеть ваш сервак. Я вроде приводил линк где чётко сказано что мастер-браузер не должен быть мультихомед. В противном случае будут как у вас - нормально будет видеться только одна сетка... afaik И дело не в открытых\закрытых портах - а именно в службе браузинга. И это тема отдельной ветки - там можете задать соот-й вопрос.
Цитата:

Средствами Isa можно замаскировать пакеты, чтобы они были 100 % от LocalHost' a ?

думаю что нет - это умеет *nix у которых в ядре можно задать любые параметры и соот-но скомпилить их потом как надо. В винде такого нельзя. Правда есть параметры где выстанавливаются (в реестре) нач-е значения TTL и их можно предварительно увеличить до 129 скажем и т.д. Ищите тему на форуме что-то вроде "домашняя сеть, провайдер и т.д."
Цитата:

Возможна "полная маскировка" при Proxy

прокси из другой оперы Проксик работает на http уровне, а вам надо маскировать ttl (на ip уровне)... примерно так. RTFM вобщем тут
Цитата:

Да, у меня сейчас явным образом открыты 3 NetBios протокола LocalHost -> Internal, LocalHost -> External, и 2 из 3 NetBios протоколов Internal -> LocalHost и External -> LocalHost.
Есть еще 3 NetBios протокола Internal -> External и 2 из 3 External -> Internal, но на компьютерах внутренней сети рабочие группы/компьютеры внешней сети пока не отображаются (что - то похоже с маршрутизацией) .

в вашем конфиге так и будет - будет или отображаться внутрянняя сеть (браузинг) или вы будете со шлюза видеть внешнюю. Но imho не обе сразу. И это не трабл исы. Соот-но вопросы в другом топе по "как мультихом машину настроить на браузинг 2-х сетей"

IeugeniyI

Цитата:

Программа ИСА 2006....
что то я не понял что за дипост...

"забей Сеня"(G)
Цитата:

дык кто то подскажет как открыть эти порты..
ребята плиз.... а то сроки поджимают !!!

создаёшь аксес рул (правило доступа) и пихаешь туда протокол smtp или какой другой... Это основы - встроенная справка тут рулит

greenfox к вам еще вопрос "попутчик"
у меня Иса перекрыла удаленный доступ к сотлу рабочу, я вобще сервре пингануть не могу... где это открыть ?

IeugeniyI

Цитата:

к сотлу рабочу

Не знаю такой магии... Но если мелся ввиду RDP, то для его активации надо хостануть заклинание "сизам откройся" - предположу что в область систем.полиси
(это там где Terminal Server опцию активровать и соотно занести себя - т.е. свой ip божестенный в remote managmet comp)
Так же можно наколдовать примерно тоже и в стандартных правилах разрешив\опубликовав соот-й протокол.

к рабочему столу )))
нет... мне нужно что бы я любого компа мог попасть на рабочий сто сервера...
это нужно только порт открыть ?

IeugeniyI
надо наколдовать правило доступа - это если "только"
конкретнее
если юзать белую магию, то те надо активировать систем полиси (см.выше) и вставить в соот-ю группу "компьютеры удалённого управления" все свои ip адресса (или подсеть)
можно и чёрную магию заюзать - хостовать руками прямиком в твои правила новую строчку - аля правило доступа из интернал на локалхост по протоколу rdp для всех пользователей. Но чёрная магия плохо дя кармы.

Цитата:

Контроллер домена прекрано работает на одной тачке с ДНС. И это именно штатная конфигурация, а уж при 5 компах то тем более.

Да в курсе, что работает.
И для такого количества компьютеров хватит.


Цитата:

Этот мегамануал в сттудию

Если найду, пришлю ссылку.


Цитата:

и зачем вам иса при таком кол-ве машин?

Но есть надобность в такой конфигурации. Есть определенные задачи.


Цитата:

а вам их надо видеть? Тогда отпадёт внутренняя сеть - она не будет видеть ваш сервак.

Надо. Да видятся сейчас обе сети (правжда только с сервера) , и из локальных компьютеров можно сделать, что виделись все компьютеры внешней сети, но на сервер фиг зайдешь (как сейчас и сделано) .


Цитата:

мастер-браузер не должен

Насколько помню, "... не желательно ..." , такая формулировка была.


Цитата:

в вашем конфиге так и будет - будет или отображаться внутрянняя сеть (браузинг) или вы будете со шлюза видеть внешнюю. Но imho не обе сразу. И это не трабл исы. Соот-но вопросы в другом топе по "как мультихом машину настроить на браузинг 2-х сетей"

Самое интересное, что во время моего "шаманства" на локальных компьютерах увиделись компьютеры внешней сети, но не запомнил эту конфигурацию (потом менял необнократно) . Сейчас с сервера видятся обе сети.

На мой взгляд частично здесь дело в Isa, частично вообще в маршрутизации.

Посмотри PM.

Добавлено:
Более того, у меня сейчас на компьютерах локальной сети отображаются группы компьютеров провайдерской сети.
Но в сами группы пока не попасть.
Но отображаются не все группы, которые виды в сетевом окружении сервера.

У меня есть одно подозрение, смотри PM.

Vxd2000

Цитата:

Где - то читал, что лучше DNS тоже отдельно держать (от DC)

за такое микрософт любого порвет доказывая что в домене dns нужно держать только на dc как ad integrated
а то что ты читал наверное было все таки про dhcp, его действительно не рекомендуют в целях безопасности держать на dns а в случае домена это тот dc. держать вполне законно можно но только если он как сервис будет стартовать с другой учеткой, это связано с безопасным динамическим обновлением записей. поэтому не особо критично

IeugeniyI
налогоплательщик?
правило - доступ с этого компа(пользователя) на smtp/pop3 allow

Добавлено:
IeugeniyI
но тока смотреть надо ЛОГ. есть банк-клиенты которые и другие порты шарят...

Помогите - устал уже разбираться... Никак не могу ничего понять....

есть два куска внутренней подсетки - 10.0.0.0 - маска 255.0.0.0 и мой кусок 10.65.0.0 маска 255.255.255.0... между ними - маршрутизация, 2 сетевых карты, иса 2006 стандарт...

вэбсервера публикуются в легкую - заходим на айпи исы - она перенаправляет как надо... Вопрос: Можно ли также опубликовать просто сервер с работающим по 5000 порту сервисом? Напрямую, по внутреннему адресу сервера телнетом по этому порту захожу прекрасно, а вот используя айпи исы, порт - никак.... Это возможно вообще???

Сразу скажу - в документации копался - не нашел точного ответа... Вроде как нельзя, но все- же?

Очень прошу ответить, кто с этим сталкивался...

Ребята я так и не понял что где включить что бы поста заработала..........
можно как то подробней..... а то я только поставил ИСу 2006 много непонятностей...

и еще вопрос...
у меня в Конфигурация - Сети - Внутренняя - свойства - Веб Прокси... стоит разрешить http и стоит порт 3128.... но почему то инет ходить только через порт 8080......
меняю на 8080 ходит... ставлю 3128 все равно ходит через 8080...
Что за мигия такая ))))) ?

ailya1960
а почему нет? Определяешь протокол соот-й в дефенитионсах, используешь мастер "опубликоваь не web сервер" и пихаешь туда нужный ip и свой протокол... потом смотришь лог если что не работает

Так и делал

определяю протокол - inbound tcp порт 5000
потом создаю правило публикации сервера
allow, from anywhere, to внутренний ip сервера, networks - все сети и локалхост...

Делал уже раз 50 в разных комбинациях, пробовал опубликовать и SQL И ORACLE...не работает... извне по внутренним айпи - ходит...


Я тоже думал, что какая разница - нат или маршрутизация, а не работает так... Почему то.... Кстати - правило нат или маршрутизация определяется сначала или после всех правил и политик?

ailya1960
лог то что пишет?
нифига не понятно как у вас "из вне по внутренним ip"??? Из вне вы стучитесь так же по внешним ip - для этого публикация и нужна - она пробросит коннект на ваш внешний ip по tcp порту 5000 на внутренний ip соот-но (т.е. это фактически порт-форвардинг\проброс порта в юних натации)
Цитата:

Кстати - правило нат или маршрутизация определяется сначала или после всех правил и политик?

оно определяется вне этих политик Т.к. соот-сится с топологией сети ...