» Microsoft ISA Server 2006/2004/2000 & TMG/UAG (Часть 4)

LYNX
Мессенджеры блокирую так:
http://blogs.technet.com/rclaus/archive/2005/03/23/401072.aspx


---------- cut from Skype FAQ -------------------

Q: I am a system administrator and I want to block Skype. How can I do that?

You have to inspect the payload of the network (TCP, UDP) traffic. Otherwise, you cannot block Skype.

Please refer to our paper on Skype (v1.4) which explains the login procedure. Use snort or any other packet inspection tool to inspect the network traffic.

At login Skype sends a login message to the login server. The first two messages in that flow are:
Skype LS
0x1603010000 -> (5 bytes)
<- 0x1703010000 (5 bytes)

By blocking all incoming messages who have the signature 0x17030100, Skype is blocked.

Note that the first three bytes of client_key_exchange SSL message are 0x160301 which correspond to:
0x16: the message type is client_key_exchange
03 01: SSL version 3.1
Skype uses the SSL signature header for client to server message exchange. But for server to client message exchange, it uses a non-SSL based header. So by blocking packets that have this header (0x170301), one can effectively block Skype without blocking any other application.

------------------cut from Skype FAQ-------------------------

davinchi9
Отваливается, например, интернет и фтп, или электронка. Но ICQ работает. Сеть, шары работают. Причем электронная почта у других может работать, а у кого-то одного-двух - не работает. После рестарта службы "ИСА файрвол" всё встает на свои места. Что м,б такое?

LYNX
Нашёл другое решение, есть бесплатная прога SkypeKiller, у меня за полчаса в домене порядок навела...
http://www.skypekiller.com/download/skypekiller_x86.exe

LYNX
Если используешь клиентов ИСЫ, то можно заблокировать само приложение, но это для всех.

BULLDOG
можно поподробнее, как заблокировать приложение для isa clients

alex779
спасибо, программа судя по описанию не плохая

кстати Skype заблокировать по заголовку 0x170301 не удалось

Keprocs
интересно, а что такое "общее правило" ?

Добавлено:
LYNX
а ты различаешь tcp/udp payload и http header? или для тебя это все одно? ))
а во вторых там речь была не про header а про payload, и не request а response

Цитата:

Keprocs
интересно, а что такое "общее правило" ?

Разрешить, весь исходящий трафик на внешку. Применяется это правило, если его отключить, то применяется правило по умолчанию.

Keprocs
случай тяжелый
на внешку это значит destination = external?
а когда на ису ломятся то это уже source=external, а destination=localhost
а когда публикация то там вообще другие протоколы используются, у них стоит inbound в определении.

LYNX
У меня ИСА русская. Конфигурация -> Общие -> Определение параметров межсетевого экрана. Там выбираешь вкладку "Параметры приложения", потом кнопка "Создать". В поле "приложения" вводишь имя запускаемого файла (можно без расширения), в "Раздел" выбираешь "Disable", а в "Значение" ставишь "0". После перезагрузки или в течении 6 часов параметр применится.

BULLDOG
спасибо.

hardhearted
я поэтому и выложил скрин, чтоб меня поправили если не прав.
объясни подробно, как на ISA реализовать описанный метод.

LYNX
"Значение" ставишь "1", я перепутал слегка.

LYNX
Программа неплохая, но глюки есть. Поаккуратнее с ней.

Цитата:

на внешку это значит destination = external?

именно.

Цитата:

а когда публикация то там вообще другие протоколы используются, у них стоит inbound в определении.

да )
вот такая картина наблюдается в логах:




это настройки модема:

какая еще информация может помочь?

Здравствуйте, всем!

Есть 2003server+ISA2004, один сетевой интерфейс смотрит во внутрь. Внутри, условно говря, 10 NAT пользователей. Один интерфейс смотрит к провайдеру, имеет внешний IP.
Хочу добавить ещё один внешний сетевой интерфейс + другой внешний IP. Чтобы 5 пользователей пользовались инетом через один интерфейс, а другие пять через второй интерфейс.
Знает кто, есть ли у ISA2004 возможность каким-либо образом реализовать такую модель предоставления интернет-сервисов?

Спасибо!

LYNX

Цитата:

объясни подробно, как на ISA реализовать описанный метод

а где было написано что это тметод вообще можно реализовать на исе? )

Keprocs
какие то странные у тебя логи, ты что с самого иса лезешь сам на себя?
ps а 3389 udp то зачем?

Zhores123
нет таких возможностей у исы, она вообще не роутер.

Цитата:

Keprocs
какие то странные у тебя логи, ты что с самого иса лезешь сам на себя?
ps а 3389 udp то зачем?

да сижу за машиной на которой ИСА и играюсь...разве это имеет значение? а 3389 UDP... модем сам поставил когда я выбрал из списка teminal server...

Keprocs

Цитата:

да сижу за машиной на которой ИСА и играюсь...разве это имеет значение?

для чистоты экскрементов играйся лучше с другой, внешней, машины

Цитата:

для чистоты экскрементов играйся лучше с другой, внешней, машины

попробовал с другой внешней машины.. логи посмотрю только завтра на работе, но вообще картина не изменилась, не пускает....

Keprocs
Еще бы правила публикации увидеть не помешало.

вообщем применяется правило по умолчанию... и в логах:
FWX_E_POLICY_RULES_DENIED, что за сообщение понятно, но правило вроде как есть )
скрин публикации:

Keprocs
Попробуй указать IP адрес внутреннего интерфейса всместо 127.0.0.1. Если устанавливать адрес путем его определения по имени компьютера у меня варианта 127.0.0.1 нет.

BULLDOG

Цитата:

Попробуй указать IP адрес внутреннего интерфейса всместо 127.0.0.1.

я уже и так и эдак пробовал, разницы никакой....

Keprocs
какая еще публикация для доступа к исе? я ж писал, что на саму ису простое правило, allow radmin(4899 outbound) from external(или all networks) to localhost for all users

hardhearted
дааа... протупил ))) Ну чтож, терминальное подключение заработало....правило применяется нужное, а вот radmin пока не хочет: 0x0    0x80074e21 FWX_E_ABORTIVE_SHUTDOWN
))
Спасибо за помощь... надо быть внимательнее ) еще бы понять что радмину не нравится )

hardheartedтерминалльное подключение на локальную машину заработало, если не сложно объясни теперь как сделать подключение на другую машину не на локальную, комп в другой подсети:
модем 192.168.11.1
на машине с ИСА сервером 2 интерфейса
один смотрит на модем 192.168.11.2
второй в локалку 192.168.10.100
Терминальный сервер 192.168.10.200
Если я правильно понимаю, то на модеме я пробрасываю порт на сервер ИСА (11.2), а на сервере ИСА потом публикую порт 3389 для терминального сервера (10.200) или не так? Вроде так попробовал сделать, но получаю такую же картину как и с радмином на локальный комп: 0x0 0x80074e21 FWX_E_ABORTIVE_SHUTDOWN

Keprocs
3389 заняла сама иса, пробрасывай по другому порту, и на исе уже требуется публикация

hardhearted
не получается... и так на выходе опять же имею сообщение в логах:
0x80074e21 FWX_E_ABORTIVE_SHUTDOWN
да и вобщем я же подключался по 3389 к компу на котором ИСА.... и все нормально было..

Keprocs
еще раз, подключаться надо по другому порту, 3389 забудь вообще

hardhearted
например: с модема пробрасываю к примеру 5555 порт на машину с ИСА сервером, а на машине с ИСА сервером делаю публикацию уже на нужную машину по 3389 с указанием входящего порта 5555?
и соотвественно с той машины с которой подключаюсь указываю, что подключаться к 5555 порту?

Keprocs
ну примерно так, если ты в правильных местах конечно же указываешь именно то что пишешь
и еще на клиентах иса должны быть шлюзом