» Microsoft ISA Server 2006/2004/2000 & TMG/UAG (Часть 4)

eap

IP Packet Filter->New IP Filter (Name: PSB-Online 9443 Outbound, File Type: Custom, Direction: outbound, Local Port: Fixed Port, Local Port Number: 9443, Remote Port: All Ports, вкладка Local Computer- This Filter Applies To: Default IP addr... вкладка remote Computer- This Filter Applies To: All Remote Computers)

На комп, с которого собираешься выходить в PSB-Online, поставить клиента фаервола.
Нужные порты 9443 in и out, 9080 out

В Policy definitions создаёшь 3 новых Protocol definitions:
9080 out (port 9080, Outbound, tcp)
9443 out (port 9443, Outbound, tcp)
9443 in (port 9443, Inbound, tcp)

далее в Protocol Rules создаёшь новое Rule Allow PSB-Online: (во вкладке Protocol указываешь, что This Rule Applies To Seleted Protocols, где указываешь 3 созданных Protocol Definitions

eap

относительно 9443 нужно смотреть в сторону connect method
примеры здесь http://support.citrix.com/article/CTX104998
вставляете в файл vbs, редактируете под себя, рестартуете сервисы исы

в самой исе даете доступ пользователям куда им нужно ходить наружу
и ставите у них клиента файрвольного

Здравствуйте, есть вопрос, как более правильно все настроить? имеется:
1. ADSL модем
2. Компьютер с ИСА сервером и двумя сетевыми платами.

Как правильней настроить модем в режиме бриджа или PPoE?
Сейчас модем настроен через PPoE никак не получается открыть порт на radmin.... на модеме сделал все как надо и в ISA правило создал, но не проходит.

Keprocs
"я что то сделал и что то не заработало"(с)
вопрос надо писать точнее, куда тебе порт надо открыть, откуда, и что ты сделал.
как работает модем исе абсолютно все равно, как настроишь так и будет.

Добрый день.

Поставил ISA 2004 на новый сервер, импортировал Firewall policy со старого, правила принялись, но при входе в любом из правил на Protocols выходит ошибка The operation failed и все подвисает, помогает только завершение задачи. Repair через диск не помогло.

Подскажите пожалуйста.

Спасибо.

hardhearted
виноват, сплю еще ) доброе утро )
Значит расписываю:
на компе 2 сетевые:
у одной подсеть: 192.168.11. и она подключена к модему
у второй подсеть: 192.168.10. это локалка
модем настроен через PPoE и соотвественно в 11-й подсети
что требуется:
1. открыть доступ к Radmin на внешку... т.е. чтоб можно было радмином при случае всегда зайти на комп.
2. открыть на внешний айпишник RDP с сервера терминалов, сервер в 10-й подсети (это пока не пробовал)

что имеем:
1 на модеме (DLINK 2540U) NAT -- Virtual Servers Setup: открыт порт Radmina на внешку 4899
External Port Start 4899 External Port End 4899 Protocol: TCP/UDP Server IP Address: 192.168.11.2     

2 На ИСА сервере пока открыто все и плюс создал правило: разрешить трафик по протоколу Radmin отовсюду на 192.168.11.2

Этой информации достаточно? )

Keprocs
radmin на ису надо открыть? тогда на исе правило должно быть не на 192,168,11,2 а на localhost. и смотреть логи если что.
rdp на внутренний сервак надо публиковать, причем на исе указывать другой порт, родной 3389 она сама занимает.

hardhearted

Цитата:

Tim2000
я же кажется уже обьяснил - у тебя теряется линк или настройки ип, в этот момент у винды нет шлюза по умолчанию, и иса не может связать external и таблицу маршрутизации, вот и ругается. короче это нормальное явление для переходных процессов, а переподключение, отключение, перенастройка это есть переходные процессы

вот точно, пасиба, шлюз убрал с внешней карты - всё встало на свои места

И коллеги, насчет автодайл-ап в исе - так никто и не вкурсе, как заставить её дайлапить PPTP? мне тут посоветовали пароль удалить из созданного впн-подключения, которое иса должна поднимать.. типа она сама его впишет, а если он там уже есть - могут быть проблемы. Вобщем не суть, нипамагло сиравно.

hardhearted
А у меня опубликован 3389 на терминальный сервер за исой. И работает.

fl1pp3r
Все равно лухше по нестандартному порту публиковать, чтобы любой лох не смог подключаться.

hardhearted
странно, и так не хочет, и эдак....

fl1pp3r
если опубликовано на 3389 порту значит иса его не слушает (отключен), такое редко используют. чаще всего на исе 3389 занят и используют другой порт.
Keprocs
значит где то накосячил или чего то не договорил

BULLDOG
если не сложно, можешь расписать как это сделать в моем случае? просто практически первый раз ИСА сервер настраиваю )

http://www.redline-software.com/rus/support/docs/isaserver/FW_H_CreateDialOut.php

Цитата:

Замечания
Если вы выбираете dial-up соединение, которое является VPN соединением, вы можете испытать проблемы со связью, потому что протоколы PPTP и L2TP/IPSec, используемые для организации VPN, блокируются по умолчанию ISA сервером. Для правильной работы создайте правило, которое разрешает трафик PPTP и L2TP/IPSec.

создал правило разришающее PPTP и L2TP/IPSec от интёрнал и локал хост к экстёрнал для олл юзерс - в логах:

Initiated Connection SRV4
Log type: Firewall service
Status: Операция успешно завершена.
Rule: vpn/pptp/ipsec/l2tp
Source: Local Host ( 192.168.1.31:33840)
Destination: External ( 192.168.1.1:1723)
Protocol: PPTP

и затем через минуту

Closed Connection SRV4
Log type: Firewall service
Status: A connection was terminated because it was idle for more than the timeout period, or the timeout on an uncompleted action expired.
Rule: vpn/pptp/ipsec/l2tp
Source: Local Host ( 192.168.1.31:33840)
Destination: External ( 192.168.1.1:1723)
Protocol: PPTP

и вндовских логах

Тип события:    Предупреждение
Источник события:    Microsoft Firewall
Категория события:    Отсутствует
Код события:    14142
Описание:
The dial-up network connection inet failed. The error description is: Не удалось создать VPN-подключение. VPN-сервер недоступен или параметры безопасности для данного подключения настроены неверно.. The error code shown in the data area of the event properties is specific to the Routing and Remote Access service.

есть какие догадки?

hardhearted
хмм странно, а в ИСА кроме правил больше ничего нигде не надо?

Цитата:

Добрый день.

Поставил ISA 2004 на новый сервер, импортировал Firewall policy со старого, правила принялись, но при входе в любом из правил на Protocols выходит ошибка The operation failed и все подвисает, помогает только завершение задачи. Repair через диск не помогло.

Подскажите пожалуйста.

Спасибо.

Так кто мне может помочь?

Keprocs
только firewall rules и network rules
ну собственно сами networks надо тоже определить с самого начала, иначе иса работать не будет. найти книгу шиндера (в гугле ищеться очень легко) там все написано.
а вообще по любой проблеме надо смотреть логи, там все видно.

hardhearted
хмм ну в networks понятное дело настроено все... проблемм не возникало, пока вот не возникла необходимость публикации.... а логи смотреть самого ISA сервера где-то? Просто думал может проблемы из-за двойного NAT на модеме и у самой ИСы......

Добавлено:
ладно, спасибо.... уже качаю Шиндлера... прийдется ковырять книжку в темпе вальса )))

Keprocs
ни двойной ни тройной нат не имеют значения, если порты проброшены верно (на исе эт опубликация)
логи смотреть в исе - файрвол без логов не имеет право на существование

логично.. но что-то не могу их найти )))) частично есть логи в евентах.. но там мало и не то.....))

Keprocs
monitoring - logging, неужто не видно глазами?

тьфу блин слепой )) понедельник надо выходным объявлять ))))

Цитата:

Понадобилось настроить бухгалтеру новый банк-клиент Промсвязьбанка. Для него нужно открыть 80, 9080 и 9443 порты.

Спасибо за помощь! Но без шаманства не обошлось. Сначала нужно было в настройках сети Java настроить подключение к Прокси, зайти в банк-клиент - он не запустится, но подгрузит Java. Потом перенастроить на ДиректКоннекшн. И только так работает.

На компе в результате 4 банк-клиента - Новиком-банк и РосЕвроБанк работают через BS-Defender и IE, Интернет не работает, пока один из этих банков не стартуешь. МКБ - тоже можно зайти вторым, после одного из них.
И ПромСвязьБанк - специально для него поставил Мозилу и страница по умолчанию - страница банк-клиента.

Вроде пятого банка не ожидается...

hardhearted
поковырялся с логами нашел, что правило публикации порта не применяется при попытке вызвать Radmin... применяется общее правило... вот только почему?

Keprocs
Порядок правил нужно поменять. Те правила, которые расположены выше заменяют разрешения более низших правил на те объекты, на которые они распростроняются.

здравствуйте.
подскажите кто как блокировал чат программы


msn-messenger
заблокировал по content type application/x-msn-messenger

qip
заблокировал добавив в block list все его прокси

нужно заблокировать ещё skype, mail.ru agent и т.п.

Цитата:

Keprocs
Порядок правил нужно поменять. Те правила, которые расположены выше заменяют разрешения более низших правил на те объекты, на которые они распростроняются.

это я понимаю... и правило стоит самым первым в очереди... с терминалом аналогичная история.. применяется общее правило, эти он как пропускает....

skype не блокируется по content type application/x-skype
а я надеялся что всё так просто

LYNX
С пару лет назад бился над этой ситуацией. В итоге 100% рабочего решения так и не придумал. В итоге помогли административные меры.
У пользователей ограниченная учетная запись. Ума не хватит установить лишнее ПО. А если кто шибко умный - на тех есть служба безопасности.
Которая запретила.
А служба безопасности у нас очень суровая. И проблема исчезла.
Хотя чисто теоретически это интересно - расскажешь потом чем дело кончилось.

Есть решение на основе групповых политик (поделились советом ребята со смежной организации)
по хэшам програм блокировать в Software Restriction Policies
метод плох тем что нужно постоянно пополнять список, по мере выхода новых версий программ.

Код: Software Restriction Policies/Additional Rules
Hash Rules
Skype.exe (3.8.0.115); Skype.exe; Skype; Skype; Skype Technologies S.A.
File hash 4BBE956B0711A2F4AA6706FFE871289E:22058792:32771