Ru-Board.club
← Вернуться в раздел «В помощь системному администратору»

» Microsoft ISA Server 2006/2004/2000 & TMG/UAG (Часть 4)

Автор: alex779
Дата сообщения: 15.10.2008 08:32
LYNX
Мессенджеры блокирую так:
http://blogs.technet.com/rclaus/archive/2005/03/23/401072.aspx


---------- cut from Skype FAQ -------------------

Q: I am a system administrator and I want to block Skype. How can I do that?

You have to inspect the payload of the network (TCP, UDP) traffic. Otherwise, you cannot block Skype.

Please refer to our paper on Skype (v1.4) which explains the login procedure. Use snort or any other packet inspection tool to inspect the network traffic.

At login Skype sends a login message to the login server. The first two messages in that flow are:
Skype LS
0x1603010000 -> (5 bytes)
<- 0x1703010000 (5 bytes)

By blocking all incoming messages who have the signature 0x17030100, Skype is blocked.

Note that the first three bytes of client_key_exchange SSL message are 0x160301 which correspond to:
0x16: the message type is client_key_exchange
03 01: SSL version 3.1
Skype uses the SSL signature header for client to server message exchange. But for server to client message exchange, it uses a non-SSL based header. So by blocking packets that have this header (0x170301), one can effectively block Skype without blocking any other application.

------------------cut from Skype FAQ-------------------------
Автор: pavel1978
Дата сообщения: 15.10.2008 09:44
davinchi9
Отваливается, например, интернет и фтп, или электронка. Но ICQ работает. Сеть, шары работают. Причем электронная почта у других может работать, а у кого-то одного-двух - не работает. После рестарта службы "ИСА файрвол" всё встает на свои места. Что м,б такое?
Автор: alex779
Дата сообщения: 15.10.2008 09:56
LYNX
Нашёл другое решение, есть бесплатная прога SkypeKiller, у меня за полчаса в домене порядок навела...
http://www.skypekiller.com/download/skypekiller_x86.exe
Автор: BULLDOG
Дата сообщения: 15.10.2008 10:53
LYNX
Если используешь клиентов ИСЫ, то можно заблокировать само приложение, но это для всех.
Автор: LYNX
Дата сообщения: 15.10.2008 11:11
BULLDOG
можно поподробнее, как заблокировать приложение для isa clients

alex779
спасибо, программа судя по описанию не плохая

кстати Skype заблокировать по заголовку 0x170301 не удалось
Автор: hardhearted
Дата сообщения: 15.10.2008 12:30
Keprocs
интересно, а что такое "общее правило" ?

Добавлено:
LYNX
а ты различаешь tcp/udp payload и http header? или для тебя это все одно? ))
а во вторых там речь была не про header а про payload, и не request а response
Автор: Keprocs
Дата сообщения: 15.10.2008 12:35

Цитата:
Keprocs
интересно, а что такое "общее правило" ?

Разрешить, весь исходящий трафик на внешку. Применяется это правило, если его отключить, то применяется правило по умолчанию.
Автор: hardhearted
Дата сообщения: 15.10.2008 12:49
Keprocs
случай тяжелый
на внешку это значит destination = external?
а когда на ису ломятся то это уже source=external, а destination=localhost
а когда публикация то там вообще другие протоколы используются, у них стоит inbound в определении.
Автор: BULLDOG
Дата сообщения: 15.10.2008 13:13
LYNX
У меня ИСА русская. Конфигурация -> Общие -> Определение параметров межсетевого экрана. Там выбираешь вкладку "Параметры приложения", потом кнопка "Создать". В поле "приложения" вводишь имя запускаемого файла (можно без расширения), в "Раздел" выбираешь "Disable", а в "Значение" ставишь "0". После перезагрузки или в течении 6 часов параметр применится.
Автор: LYNX
Дата сообщения: 15.10.2008 13:23
BULLDOG
спасибо.

hardhearted
я поэтому и выложил скрин, чтоб меня поправили если не прав.
объясни подробно, как на ISA реализовать описанный метод.
Автор: BULLDOG
Дата сообщения: 15.10.2008 13:36
LYNX
"Значение" ставишь "1", я перепутал слегка.
Автор: alex779
Дата сообщения: 15.10.2008 13:38
LYNX
Программа неплохая, но глюки есть. Поаккуратнее с ней.
Автор: Keprocs
Дата сообщения: 15.10.2008 14:12

Цитата:
на внешку это значит destination = external?

именно.

Цитата:
а когда публикация то там вообще другие протоколы используются, у них стоит inbound в определении.

да )
вот такая картина наблюдается в логах:




это настройки модема:

какая еще информация может помочь?
Автор: Zhores123
Дата сообщения: 15.10.2008 15:39
Здравствуйте, всем!

Есть 2003server+ISA2004, один сетевой интерфейс смотрит во внутрь. Внутри, условно говря, 10 NAT пользователей. Один интерфейс смотрит к провайдеру, имеет внешний IP.
Хочу добавить ещё один внешний сетевой интерфейс + другой внешний IP. Чтобы 5 пользователей пользовались инетом через один интерфейс, а другие пять через второй интерфейс.
Знает кто, есть ли у ISA2004 возможность каким-либо образом реализовать такую модель предоставления интернет-сервисов?

Спасибо!
Автор: hardhearted
Дата сообщения: 15.10.2008 15:52
LYNX

Цитата:
объясни подробно, как на ISA реализовать описанный метод

а где было написано что это тметод вообще можно реализовать на исе? )

Keprocs
какие то странные у тебя логи, ты что с самого иса лезешь сам на себя?
ps а 3389 udp то зачем?

Zhores123
нет таких возможностей у исы, она вообще не роутер.
Автор: Keprocs
Дата сообщения: 15.10.2008 16:15

Цитата:
Keprocs
какие то странные у тебя логи, ты что с самого иса лезешь сам на себя?
ps а 3389 udp то зачем?

да сижу за машиной на которой ИСА и играюсь...разве это имеет значение? а 3389 UDP... модем сам поставил когда я выбрал из списка teminal server...
Автор: hardhearted
Дата сообщения: 15.10.2008 16:53
Keprocs

Цитата:
да сижу за машиной на которой ИСА и играюсь...разве это имеет значение?

для чистоты экскрементов играйся лучше с другой, внешней, машины
Автор: Keprocs
Дата сообщения: 15.10.2008 17:53

Цитата:
для чистоты экскрементов играйся лучше с другой, внешней, машины

попробовал с другой внешней машины.. логи посмотрю только завтра на работе, но вообще картина не изменилась, не пускает....
Автор: BULLDOG
Дата сообщения: 16.10.2008 07:44
Keprocs
Еще бы правила публикации увидеть не помешало.
Автор: Keprocs
Дата сообщения: 16.10.2008 10:17


вообщем применяется правило по умолчанию... и в логах:
FWX_E_POLICY_RULES_DENIED, что за сообщение понятно, но правило вроде как есть )
скрин публикации:
Автор: BULLDOG
Дата сообщения: 16.10.2008 10:29
Keprocs
Попробуй указать IP адрес внутреннего интерфейса всместо 127.0.0.1. Если устанавливать адрес путем его определения по имени компьютера у меня варианта 127.0.0.1 нет.
Автор: Keprocs
Дата сообщения: 16.10.2008 10:57
BULLDOG

Цитата:
Попробуй указать IP адрес внутреннего интерфейса всместо 127.0.0.1.


я уже и так и эдак пробовал, разницы никакой....
Автор: hardhearted
Дата сообщения: 16.10.2008 13:05
Keprocs
какая еще публикация для доступа к исе? я ж писал, что на саму ису простое правило, allow radmin(4899 outbound) from external(или all networks) to localhost for all users
Автор: Keprocs
Дата сообщения: 16.10.2008 14:58
hardhearted
дааа... протупил ))) Ну чтож, терминальное подключение заработало....правило применяется нужное, а вот radmin пока не хочет: 0x0    0x80074e21 FWX_E_ABORTIVE_SHUTDOWN
))
Спасибо за помощь... надо быть внимательнее ) еще бы понять что радмину не нравится )
Автор: Keprocs
Дата сообщения: 17.10.2008 08:32
hardheartedтерминалльное подключение на локальную машину заработало, если не сложно объясни теперь как сделать подключение на другую машину не на локальную, комп в другой подсети:
модем 192.168.11.1
на машине с ИСА сервером 2 интерфейса
один смотрит на модем 192.168.11.2
второй в локалку 192.168.10.100
Терминальный сервер 192.168.10.200
Если я правильно понимаю, то на модеме я пробрасываю порт на сервер ИСА (11.2), а на сервере ИСА потом публикую порт 3389 для терминального сервера (10.200) или не так? Вроде так попробовал сделать, но получаю такую же картину как и с радмином на локальный комп: 0x0 0x80074e21 FWX_E_ABORTIVE_SHUTDOWN
Автор: hardhearted
Дата сообщения: 17.10.2008 09:36
Keprocs
3389 заняла сама иса, пробрасывай по другому порту, и на исе уже требуется публикация
Автор: Keprocs
Дата сообщения: 17.10.2008 15:15
hardhearted
не получается... и так на выходе опять же имею сообщение в логах:
0x80074e21 FWX_E_ABORTIVE_SHUTDOWN
да и вобщем я же подключался по 3389 к компу на котором ИСА.... и все нормально было..
Автор: hardhearted
Дата сообщения: 17.10.2008 15:25
Keprocs
еще раз, подключаться надо по другому порту, 3389 забудь вообще
Автор: Keprocs
Дата сообщения: 17.10.2008 16:15
hardhearted
например: с модема пробрасываю к примеру 5555 порт на машину с ИСА сервером, а на машине с ИСА сервером делаю публикацию уже на нужную машину по 3389 с указанием входящего порта 5555?
и соотвественно с той машины с которой подключаюсь указываю, что подключаться к 5555 порту?
Автор: hardhearted
Дата сообщения: 18.10.2008 19:28
Keprocs
ну примерно так, если ты в правильных местах конечно же указываешь именно то что пишешь
и еще на клиентах иса должны быть шлюзом

Страницы: 1234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950515253545556575859606162636465666768697071727374757677787980818283848586878889909192939495

Предыдущая тема: Kerio WinRoute Firewall (часть 4)


Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.