» Microsoft ISA Server 2006/2004/2000 & TMG/UAG (Часть 4)

zubastiy ок, понятно......
Но сисема управления должна быть гибкой, не думаю что иса без фльтра с этим справится......... каждый пользователь будет иметь свои правила.... я потом не запутаюсь ???
Смотрю рекомендуют Surfcontrol...... хорош он ???

IeugeniyI

Цитата:

zubastiy ок, понятно......
Но сисема управления должна быть гибкой, не думаю что иса без фльтра с этим справится......... каждый пользователь будет иметь свои правила.... я потом не запутаюсь ???
Смотрю рекомендуют Surfcontrol...... хорош он ???

система - гибче некуда.
если каждый пользователь будет иметь свое правило - тогда действительно запутаться будет очень легко.
но можно создавать правила и применять их к группам безопасности AD
к примеру - standart (включаем туда всех стандартных пользователей) в правиле разрешаем протоколы http+ftp+icq, можно на все сайты кроме списка сайтов, время работы правила - с 10 до 18, во все остальное время этим пользователям показывать заглушку - ходить в инет кроме 10 до 18 не разрешено групповыми политиками.
потом создаем limit - только http, можно только сайты из представленного списка и только с 14 до 16, все остальное - показывать заглушку с объяснялкой, доступ закрыт ибо нефиг.
ну и unlimit - весь трафик, куда угодно и во сколько угодно ) (хотя я бы никому, кроме почтовика, не разрешал бы 25 порт использовать, во избежание исходящего спама)
Ну и так далее. После настройки правил распихиваешь пользователей по группам и наслаждаешся результатом.

Сторонние фильтры дополнительно нагружают систему, правила самой ISA отрабатывают быстрее. Хотя и добавляют функционала.
Sufrcontrol - монстр по возможностям (фильтрация контента сайтов - имхо наиболее привлекательная функция, режим путешествия и прочие фиговины) и монстр по потребностям. Для нормального функционирования ему желателен выделенный sql сервер (в большой огранизации)
можно конечно установить sql и на isa сервере (тудаже пихать логи от саой isa, в качестве бонуса) но машинка нужна будет не слабая, либо очень тонко настраивать sql сервер и isa, раздавая ресурсы исключительно по потребностям...

К слову, Surfcontrol и отчеты посещаемости умеет строить

greenfox

Т.е. как я понял, добавление порта в isatpe и по скрипту 2 разные вещи?

Tvarogok

Цитата:

isatpe

не совсем понял что это... но если вы имели ввиду создание протокола с соот-ми портами, то да - для открытия ssl на нестандартном порту это надо разрешать скриптиком на исе...
PS "поиск рулит"(с)

Tvarogok
isatrpe и вышеупомянутый скрипт это одно и тоже, и называют их часто одинакого
для чего ты создавал протоколы вообще не знаю, а inbound кстати совсем для других целей.

zubastiy пасибочки.......
Очень признателен !!!!

greenfox
hardhearted

Да я так и думал что это одно и то же. Смотрел скриптами - порты у меня открыты.

Inbound и в правду не знаю для чего, но на всякий случай сделал

Сам сервер после добавления портов не перезагружал. Видел в другой ветке о необходимости перезагрузки после добавления портов. Не знаю на выходных перезагружу, отпишусь.

Tvarogok
а просто сервисы рестартануть?
вообще рестарт сервиса насколько я помню нужен.
а протоколы вообще создавать не обязательно, а тем более inbound, они только для публикации используются

как глянуть в исе сколько пользователь скачал и что скачал ?
куда клацать ?

IeugeniyI
никуда, в исе нет хороших хороших отчетов, а встроенные примитивны
иса пишет логи, а анализировать можешь чем хочешь

hardhearted разобрался......... есть в Ися монитор, Репортс, создать новый отчет.....
вот там видно....... да отчет фигня полная....
что можно поставить для отчета хорошее ?


Добавлено:
hardhearted все таки, как глянуть для конкретного опльзователя.......... это очень важно, а то похожу что какаето муть завиалсь, качает сумашедшие обьемы...... где глянуть ?

IeugeniyI
ты же выше общался с zubastiy он тебе проги насоветовал
в исе ты никак не глянешь, либо ее убогий репорт либо сырые логи.
отчеты произвольного вида можешь строить сам

hardhearted да, посоветовал Internet Access Monitor.....
Не могу понять она платна или бесплатна ?
прейдется покупать блин !


Добавлено:
hardhearted и не по понял.... она интегрируется в ИСА или будетстоять отдельно.... если отдельно что она подхватывает для ведение базы по трафику и всего остального ???

IeugeniyI

Internet Access Monitor 3.8 for ISA - Retail.Incl.Crack - kioresk // REVENGE



С кряком проблем нет, сам пользуюсь.

Добавлено:
hardhearted

Если не секрет какие именно сервисы нужно рестартить?

Tvarogok
тут запрещено обсуждение и ссылки на варез, удали пост

Добавлено:
Tvarogok

Цитата:

Если не секрет какие именно сервисы нужно рестартить?

что за вопросы? isa firewall конечно, он прямо в исашной консоли рестартится

Цитата:

она интегрируется в ИСА или будетстоять отдельно.... если отдельно что она подхватывает для ведение базы по трафику и всего остального

это просто расшифровщик логов исы= укзаываешь откуда их брать и рисуешь репорты

Tvarogok спасибо....!!!
Но я пользуюсь только лицензированным софтом )))))))
Но все равно спасибки !!!


Добавлено:
Как в Исе создать правило............... закрыть Контатк и Однокласники с 9 до 13... открыть с 13 - 14 и закрыть сново с 14 до 18.00

Есть вот какой вопрос.
На работе есть два канала интернет: Укртелеком и Лаки.
Можно ли настроить так чтобы:
1. Группа IP адресов (10.1.1.101-254) всегда ходила через Укртелеком за исключением некоторых сервисов.
2. Но эти сервисы (типа ICQ, RDP, Skype) пробрасывались исключительно чере Лаки.
3. Другая группа IP(10.1.1.1-10.1.1.100) всегда использовали канал Лаки.

IeugeniyI
создай правило вот такое

в URl set вбей вконтакте.ру и одноклассники.ру
создай Schedules и в свойствах правила на закладке schedule выбери его из выпадающего списка

ща буду пробывать )))

jMurr
нет

Ребят а кто-нибудь запускал Warcraft III через ISA?

Здравствуйте.

Поставил себе GFIMonitor 4.1, работает нормально... только вот не пойму, как там сделать отчет за месяц или неделю к примеру. Он показывает за день только.

Спасибо.

Добавлено:
Еще и антивирь Symantec не может обновиться. Почему?

Antdik

а зачем было покупать VPN, если у тебя везде на границе ISA ?
тебе надо настроить site-to-site VPN

вот отличная дока
_http://www.isaserver.org/tutorials/Creating-Site-Site-VPN-ISA-Server-2006-Firewalls-Main-Branch-Office-Part2.html
_http://www.isadocs.ru/articles/Creating-Site-Site-VPN-ISA-Server-2006-Firewalls-Main-Branch-Office-Part2.html

или вот официальная(одинаково для ISA 2004/2006)
_http://technet.microsoft.com/ru-ru/library/cc302474(en-us).aspx

HmH

Цитата:

а зачем было покупать VPN, если у тебя везде на границе ISA ?

а зачем люди покупают машины если можно ездить на такси?
часто бывает что организация впн силеами провайдера (а он походу один и тот же) дает более дешевый трафик между точками, а иногда и безлимитный, что при больших обьемах обмена между офисами бывает очень выгодно.

Всем привет! Помогите с настройка клиента для ISA
Суть проблемы в следующем:

На ISA 2006 для выхода пользователям в интерент настроено одно правило - разрешен весь трафик от доменных пользователей.

По идеи все должно нормально работать, а оказалось что не все.

В частности не возможно подключиться по RDP к удаленному компу в интернете, не проходит PING, tracert, не удается подключиться к удаленному компу по ВПН.

В логах пишет что все блокирует ISA клиент.

Подскажите как это исправить???

palpatinn
я кажется в другом форуме тебе ответил.
ставь fwc на клиентов, тока с пингами и впн это не сработает, читай в доках ограничения разных типов клиентов, fwc в частности.

Цитата:

Здравствуйте.

Поставил себе GFIMonitor 4.1, работает нормально... только вот не пойму, как там сделать отчет за месяц или неделю к примеру. Он показывает за день только.

Спасибо.

Добавлено:
Еще и антивирь Symantec не может обновиться. Почему?

Ребята, помогите мне пожалуйста с этим вопросом.

Как сделать порт маппинг на ISA 2004?
Задача: Advanced Host Monitor-ом удаленно мониторить серверА(стандартный порт на котором Advanced Host Monitor слушает - tcp1055). Сеть1 в которой нахожусь я защищена брэндмауэром ISA2006.В этой же сети серверная часть Advanced Host Monitor(ahm-ser). Сеть2 находиться "за Интернетом" и зашищена брэндмауэром ISA2004. Т.е. логическая топология
Сеть1-ISA2006-Интернет-ISA2004-сеть2. Сеть2 содержит два сервера: server1(ISA) и server2(Domain controller). Белый IP сеть2 - 187.х.х.у
Хочу, чтобы приходящий запрос от ahm-ser на ISA2004 на порт 9097 пересылался на server1(tcp1055). И чтобы приходящий запрос от ahm-ser на ISA2004 на порт 9098 пересылался на server2(tcp1055)

Я на ISA 2004 сделал новый протокол AHM(1055). Сделал Publishig Rule для server1. Сейчас в консоли ISA2004 Management это праило выглядит следующим образом:
Name: AHM(isaserver-localhost)
Action: Allow
Protocols: AHM(1055)
From/Listener: External
To: 192.168.0.1
Condition: пусто

Если я из своей Сеть1 запускаю telnet 187.х.х.у 9097, то соединение не устанавливается.

vicwanderer
возможность сделать Site-to-Site не рассматривал? имхо так проще будет.