ITeXPert - Сама ISA точно не умеет load balancing делать. Если софтовое решение то PFSense в самый раз. И бесплатно. Конфигурируется из Web интерфейса, так что командну строку учить не надо.
» Microsoft ISA Server 2006/2004/2000 & TMG/UAG (Часть 4)
L38Crow
это софтовое решение называется юникс, вернее дистриб freebsd
)
это софтовое решение называется юникс, вернее дистриб freebsd
)hardhearted
L38Crow
Странно, точно не помню но вроде бы начиная с ISA 2004, Ent редакции умеют балансировать нагрузку.
И насчет цен, все таки варез есть варез. Для корпоративной среды еще имеет смысл оценивать риски нелицензионного ПО, и в некоторых случаях действительно удобнее приобрести железо за килобакс чем софта на 3 кб.
Плюс в ISA по сравнению с железом - можно более или менее удобный биллинг сделать. Для тех у кого траффик по 2 рубля за мегабайт.
L38Crow
Странно, точно не помню но вроде бы начиная с ISA 2004, Ent редакции умеют балансировать нагрузку.
И насчет цен, все таки варез есть варез. Для корпоративной среды еще имеет смысл оценивать риски нелицензионного ПО, и в некоторых случаях действительно удобнее приобрести железо за килобакс чем софта на 3 кб.
Плюс в ISA по сравнению с железом - можно более или менее удобный биллинг сделать. Для тех у кого траффик по 2 рубля за мегабайт.
lypky
еще раз для особо одаренных: иса не занимается роутингом в принципе, и балансировку не умеет. для 2000 была левая прога типа rainconnect, которая вроде как умела, но контору купила EMC и проект давно закрыт.
иса - корпоративный файрвол, для домашних сеток он не очень удобен, и не предназначен для них вовсе.
Варез здесь не обсуждаем.
Биллинга в исе нет и не было. трафик по ее логам проходится считать самому(в том числе и левыми прогами) и очень внимательно, там куча ньюансов в которых я до конца не разобрался. В плане подсчета трафика юниксы ничем не уступают исе, хотя бы потому что софтин там для этого больше, ну и для домашних сеток там проще организовать другие вкусности: шейпинг, квотирование и все такое, что никогда не используется в корпоративных сетях. ну у цисок с этим маленькая проблема - чтобы организовать подсчет трафика и биллинг нужен сервачок.
еще раз для особо одаренных: иса не занимается роутингом в принципе, и балансировку не умеет. для 2000 была левая прога типа rainconnect, которая вроде как умела, но контору купила EMC и проект давно закрыт.
иса - корпоративный файрвол, для домашних сеток он не очень удобен, и не предназначен для них вовсе.
Варез здесь не обсуждаем.
Биллинга в исе нет и не было. трафик по ее логам проходится считать самому(в том числе и левыми прогами) и очень внимательно, там куча ньюансов в которых я до конца не разобрался. В плане подсчета трафика юниксы ничем не уступают исе, хотя бы потому что софтин там для этого больше, ну и для домашних сеток там проще организовать другие вкусности: шейпинг, квотирование и все такое, что никогда не используется в корпоративных сетях. ну у цисок с этим маленькая проблема - чтобы организовать подсчет трафика и биллинг нужен сервачок.
Доброго времени всем. На тачке стоит иса 2006 раздаёт инет, так же на ней установлен ESET Remote administrator Server с консолью. Не как ни получается создать правило для того что бы ESET Remote administrator Server мог раздавать обновления по HTTP. Я делал следующее: опубликовал протокол НЕ веб-серверов, создал порт 2221 как tcp входящее.
Затем пробывал обновиться с другой тачки в этой же сети. Т.е. в настройках поставил HTTP://имя_сервера:2221 . Обновление не заработало.
Попробывал поставить nod32 на сам сервер и у него выставил в настройках обновления HTTP://127.0.0.1:2221. На сервере он заработал и обновился.
Думаю что косяк в правиле публикации. Вот только какой понять не могу. Прошу помощь зала.
Затем пробывал обновиться с другой тачки в этой же сети. Т.е. в настройках поставил HTTP://имя_сервера:2221 . Обновление не заработало.
Попробывал поставить nod32 на сам сервер и у него выставил в настройках обновления HTTP://127.0.0.1:2221. На сервере он заработал и обновился.
Думаю что косяк в правиле публикации. Вот только какой понять не могу. Прошу помощь зала.
SM8Yozhig
какая еще публикация из внутренней сетки? просто разреши свой 2221 из локалки на ису и все
какая еще публикация из внутренней сетки? просто разреши свой 2221 из локалки на ису и все
Цитата:
какая еще публикация из внутренней сетки? просто разреши свой 2221 из локалки на ису и все
Публикацию я хотел проверить сначала на внутреней сетке, а затем делать на внешнюю, что бы народ мог по инету обновляться. Значит публикация на внутренней сетки работать не будет?
SM8Yozhig
Цитата:
работать может и будет, но в ней просто нет смысла
Цитата:
Значит публикация на внутренней сетки работать не будет?
работать может и будет, но в ней просто нет смысла
Цитата:
работать может и будет, но в ней просто нет смысла
Хорошо. Тогда есть другой вопрос. Как правильно опубликовать данный порт для того что бы с ним возможна была работа из вне? Заранее прошу прощения за назойливость.
SM8Yozhig
если это веб то публикуй как веб, но листенер делаешь по своему 2221 и редиректишь тоже на такой порт
если это не веб то и публикуй как не веб
тока не надо писать такую глупость как 127,0,0,1
если это веб то публикуй как веб, но листенер делаешь по своему 2221 и редиректишь тоже на такой порт
если это не веб то и публикуй как не веб
тока не надо писать такую глупость как 127,0,0,1
hardhearted
Спасибо попробую. Надо будет попробывать как веб сервер.
Цитата:
Это относиться к настройкам ISA конкретно или это относится к сетям? Если к сетям то почему глупость?
Спасибо попробую. Надо будет попробывать как веб сервер.
Цитата:
тока не надо писать такую глупость как 127,0,0,1
Это относиться к настройкам ISA конкретно или это относится к сетям? Если к сетям то почему глупость?
SM8Yozhig
причем тут сети и иса, при публикации указывай нормальный ипшник, например внутренний. а можешь вообще не публиковать ничего, просто открыть доступ из нужных сетей на ису по этому порту
причем тут сети и иса, при публикации указывай нормальный ипшник, например внутренний. а можешь вообще не публиковать ничего, просто открыть доступ из нужных сетей на ису по этому порту
Цитата:
причем тут сети и иса, при публикации указывай нормальный ипшник, например внутренний. а можешь вообще не публиковать ничего, просто открыть доступ из нужных сетей на ису по этому порту
Спасибо все заработало публиковал как веб. Терь всё работает через инет.
Вопрос такой..... для вас это пыль а мне ответте пожалуйста ясно ))))))))
А зачем нужен клиент Иса сервер который ставить на компютерах пользователей ?
А зачем нужен клиент Иса сервер который ставить на компютерах пользователей ?
дравствуйте,
Ситуация такая, у фирмы есть сервер подключённый по эзернету с белым IP к интернету.
На нем установлена ISA 2006, поднят доступ из интернета VPN клиентов.
VPN клиенты имеют нормальный доступ к впн сетке этого сервера, ведут безопасный обмен файлами друг с другом и так далее...
В общем все работает нормально.
Но с недавних пор (подозреваю после установки sp1 на ису) поле Имя пользователя клиента в наблюдениях стало пустым, соответственно, нет ни какой возможности проследить кто и что делал.
Раньше считали трафик по пользователям нормально с помощью LogParser :
LogParser.exe "SELECT username, sum([bytes sent intermediate]) as OutTraffic, count([bytes received intermediate]) as InTraffic FROM c:\isa_logs\ISALOG_20081026_FWS_000.w3c group by username order by OutTraffic desc" -i:w3c
В RRAS имя пользователя видно естественно нормально, а в isa его нет.
Правило там одно - разрешать все и всем, ибо все сервисы на vpn IP адресах, на внешнем адресе ни каких прослушивателей, кроме vpn сервера. Да вроде правила тут и не причем, ибо ранее имена были, а теперь при тех же правилах их нет.
Так как такого не возникало раньше, то почитал что пишут на эту тему...
http://techdoc.com.ua/v-pomosch-sistemnomu-administr…ndmaueru-isa.html
Заметьте, что даже хотя мы не требовали авторизацию в этом правиле, имя пользователя все же появляется в этих log’ах. Прекрасно! Это одна из специальных возможностей соединений VPN клиентов — имя пользователя фиксируется брандмауэром ISA, даже когда компьютер VPN клиента не настроен как Web-прокси или Брандмауэрный клиент.
Кто подскажет как вернуть "Имя пользователя клиента"
Спасибо за внимание.
Саша.
Ситуация такая, у фирмы есть сервер подключённый по эзернету с белым IP к интернету.
На нем установлена ISA 2006, поднят доступ из интернета VPN клиентов.
VPN клиенты имеют нормальный доступ к впн сетке этого сервера, ведут безопасный обмен файлами друг с другом и так далее...
В общем все работает нормально.
Но с недавних пор (подозреваю после установки sp1 на ису) поле Имя пользователя клиента в наблюдениях стало пустым, соответственно, нет ни какой возможности проследить кто и что делал.
Раньше считали трафик по пользователям нормально с помощью LogParser :
LogParser.exe "SELECT username, sum([bytes sent intermediate]) as OutTraffic, count([bytes received intermediate]) as InTraffic FROM c:\isa_logs\ISALOG_20081026_FWS_000.w3c group by username order by OutTraffic desc" -i:w3c
В RRAS имя пользователя видно естественно нормально, а в isa его нет.
Правило там одно - разрешать все и всем, ибо все сервисы на vpn IP адресах, на внешнем адресе ни каких прослушивателей, кроме vpn сервера. Да вроде правила тут и не причем, ибо ранее имена были, а теперь при тех же правилах их нет.
Так как такого не возникало раньше, то почитал что пишут на эту тему...
http://techdoc.com.ua/v-pomosch-sistemnomu-administr…ndmaueru-isa.html
Заметьте, что даже хотя мы не требовали авторизацию в этом правиле, имя пользователя все же появляется в этих log’ах. Прекрасно! Это одна из специальных возможностей соединений VPN клиентов — имя пользователя фиксируется брандмауэром ISA, даже когда компьютер VPN клиента не настроен как Web-прокси или Брандмауэрный клиент.
Кто подскажет как вернуть "Имя пользователя клиента"
Спасибо за внимание.
Саша.
Объясните пожалуйсто, как я понял, ISA 2006, с 2008 виндой не работает, т.е. решения для 2008 нету? Или существует бета новой ИСЫ, которая ставится на 2008?
kURONO
существует. TMG, на офсайте давно уже есть
Добавлено:
IeugeniyI
открой доку по исе или книгу или офсайт. там все подробно написано, что такое fwc, как он работает, для чего нужен и какие у него отличия от других типов клиентов.
существует. TMG, на офсайте давно уже есть
Добавлено:
IeugeniyI
открой доку по исе или книгу или офсайт. там все подробно написано, что такое fwc, как он работает, для чего нужен и какие у него отличия от других типов клиентов.
День добрый уважаемые.
может кто подскажет как поступить в такой ситуации
разрешить доступ пользователей по определённым протоколам (HTPPS) на определенные сайты с урлом https://
url sets не подходит так как там только http.
Может у кого есть решение этой задачки ?
может кто подскажет как поступить в такой ситуации
разрешить доступ пользователей по определённым протоколам (HTPPS) на определенные сайты с урлом https://
url sets не подходит так как там только http.
Может у кого есть решение этой задачки ?
123Maximus123
а domain name set религия не позводяет использовать?
а domain name set религия не позводяет использовать?
Если кому-то интересно проблему с публикацией решить все же удалось, после долгих ковыряний в интернете выяснилось что проблемма во втором сервис паке для Win 2003 а конкретно в наборе SNP (Scalable Networking Pack), который по идее должен был ускорить работу сети, по мнению разработчиков )))) А на самом деле вызывал глюки в работе.
После установки заплатки все заработало, здесь можно почитать об этом подробней KB948496
Ну и спасибо за то, что попытались помочь )
После установки заплатки все заработало, здесь можно почитать об этом подробней KB948496
Ну и спасибо за то, что попытались помочь )
Keprocs
это потому что snp рассчитан на работу с правильными дровами
это потому что snp рассчитан на работу с правильными дровами
Такая картина:
Есть локальная сеть 192.168.100.1 - 192.168.100.254
Маршрутизатором на адрес 192.168.100.15 проброшены все порты из вне, тоесть инет есть только на этой машине.
Есть желание поставить ISA 2006 сервер, чтобы раздавать инет остальным пользователям...
Вопрос: стоит ли на ISA сервер ставить 2-е сетевухи, т.к. IP адреса будут в одной подсети...192.168.100.15 и допустим 192.168.100.5? Или оставить одну сетевуху с адресом 192.168.100.15?
Есть локальная сеть 192.168.100.1 - 192.168.100.254
Маршрутизатором на адрес 192.168.100.15 проброшены все порты из вне, тоесть инет есть только на этой машине.
Есть желание поставить ISA 2006 сервер, чтобы раздавать инет остальным пользователям...
Вопрос: стоит ли на ISA сервер ставить 2-е сетевухи, т.к. IP адреса будут в одной подсети...192.168.100.15 и допустим 192.168.100.5? Или оставить одну сетевуху с адресом 192.168.100.15?
blade000
полноценно иса будет работать только с двумя интерфейсами, и сетки конечно же должны быть разными.
полноценно иса будет работать только с двумя интерфейсами, и сетки конечно же должны быть разными.
подскажите, как правильно в ISA 2006 запретить входящие потоки медиа контента? онлайн видео/радио по протоколам а не по сайтам?
hardhearted
[q][/q]
Если с 2-я интерфейсами и в одной сети...на ISA серваке в таблице маршрутизации никак это не прописать, чтобы корректно работало?
Хочется всё же полноценный сервер поднять
[q][/q]
Если с 2-я интерфейсами и в одной сети...на ISA серваке в таблице маршрутизации никак это не прописать, чтобы корректно работало?
Хочется всё же полноценный сервер поднять
приветствую!
господа, нужна помощь!
есть AD 2003 и ISA 2006 работает в кач. файрвола. включена авторизация.
поднимал все это дело не я, а предыдущий коллега.
у себя на клиентской машине мспользую firefox и проблем не знаю.
у пользователей IE7. как раз с ним периодически случаются странности:
то он съедает все ресурсы и вешает машину, приходится убивать процесс.
то пользователи периодически жалуются на проблемы с отображением
некоторых страниц, чего я никогда не замечал. стоит мне подойти и страница отображается.
я подозреваю что проблемы где-то с авторизацией на ISA или в AD. т.к. в логах машины, на которой стоит ISA с постоянной периодичностью всплывает это:
ivent ID: 5783
The session setup to the Windows NT or Windows 2000 Domain Controller \\AD.***.ru for the domain *** is not responsive. The current RPC call from Netlogon on \\ISA to \\AD.***.ru has been cancelled.
смиренно молю о помощи!
p.s. в последствии возможны глупые вопросы, т.к. с ISA работаю недавно.
господа, нужна помощь!
есть AD 2003 и ISA 2006 работает в кач. файрвола. включена авторизация.
поднимал все это дело не я, а предыдущий коллега.
у себя на клиентской машине мспользую firefox и проблем не знаю.
у пользователей IE7. как раз с ним периодически случаются странности:
то он съедает все ресурсы и вешает машину, приходится убивать процесс.
то пользователи периодически жалуются на проблемы с отображением
некоторых страниц, чего я никогда не замечал. стоит мне подойти и страница отображается.
я подозреваю что проблемы где-то с авторизацией на ISA или в AD. т.к. в логах машины, на которой стоит ISA с постоянной периодичностью всплывает это:
ivent ID: 5783
The session setup to the Windows NT or Windows 2000 Domain Controller \\AD.***.ru for the domain *** is not responsive. The current RPC call from Netlogon on \\ISA to \\AD.***.ru has been cancelled.
смиренно молю о помощи!
p.s. в последствии возможны глупые вопросы, т.к. с ISA работаю недавно.
blade000
два интерфейса в одной сети - бред, лучше не извращаться, сделать вторую промежуточную сетку и сделать два интерфейса из разных сетей.
два интерфейса в одной сети - бред, лучше не извращаться, сделать вторую промежуточную сетку и сделать два интерфейса из разных сетей.
blade000
Если ты имеешь ввиду агрегирование то это делается средствами сетевой карточки
Добавлено:
TokImota
эсть такое понятие как content-type в исе, сделай правило запрещающее аудио и видео. Только не делай правило доступа винтернеть разрешающее все перечисленные в исе типы контента кроме аудио и видео, т.к. потом возможны глюки, т.к. иса не знает всех типов...
Если ты имеешь ввиду агрегирование то это делается средствами сетевой карточки
Добавлено:
TokImota
эсть такое понятие как content-type в исе, сделай правило запрещающее аудио и видео. Только не делай правило доступа винтернеть разрешающее все перечисленные в исе типы контента кроме аудио и видео, т.к. потом возможны глюки, т.к. иса не знает всех типов...
Проблема с установкой ISA 2006 Standart на Server 2003 SP2 R2. Останавливается с ошибкой "setup failed while creating isa server storage".
Погуглил, похожий косяк решали выводом ISA-сервера из домена - попробовал - не помогло. Никто не сталкивался с подобным?
Погуглил, похожий косяк решали выводом ISA-сервера из домена - попробовал - не помогло. Никто не сталкивался с подобным?
Подскажите, что надо настроить на сервере ИСА 2006, что бы запустить закачку почты по pop3 протоколу с клиентских компьютров используя outlook без установки ISA клиента на компьтер пользователя.
Страницы: 1234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950515253545556575859606162636465666768697071727374757677787980818283848586878889909192939495
Предыдущая тема: Kerio WinRoute Firewall (часть 4)
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.