» Microsoft ISA Server 2006/2004/2000 & TMG/UAG (Часть 4)

Ребята как закрыть интернет Радио...... по каким портам оно работает ???
что то не пойму системы этой...... или к каждой фолны свой сайт, порт итд ?

BULLDOG
Попробуй правой мышой на правиле, там выбери "Configure FTP", сними галку Read Only.
Мне помогло когда не мог из локалки ко внешним ftp серверам подконнектиться.

Lazy KoT
Read Only снято. Из локалки все работает, а вот из интернета не работает

Имею центр офис и 2 филиала соеденённые выд.каналами с центром. Всё идёт в ису - 4 интерфейса: 3 внутренних (2 филиала и 1 внутр сеть центра) и 1 внешний - это в инет. Это в центральном офисе. В доп.офисах стоит тоже иса с 3-мя интерф в каждой - внутреннем, 2-м внутренним от центр. офиса и внешнем.
Т.о. центр иса имеет 4 интерфейса: lc0, lc1, lc2 - внутренние. И if0 - внешний.
В филиалах стоит тоже по исе - она даёт доступ к инету филиалу и рутит внутренний трафик в центр. (отношение между внетренними сетями - роутинг)
Задача: из центрального офиса пустить на определённую группу адресов (белые ip в инете) трафик не через стандыртный интерфейс на исе if0, а ису одного из доп.офисов.
Пытался стандартно сделать - route add и соот-но вбить в табл маршрутизации исы эту подсеть Ip что бы иса в центральном офисе рутила пакеты на них на внутренний интерфейс другой исы (т.е. через lc1 пустить трафик на ису в доп.офисе, а та уже зарутит его в инет) - не получается. Пробовал так же создать сеть с этим диапазоном (по типу external), создать правило сетей и т.д. - тоже облом - или вообще всё тихо или пишет destination unricheble
Не могу понять куда копать и возможно ли такое вообще на исе организовать???

Добавлено:
BULLDOG
http://www.isaserver.org/articles/How_the_FTP_protocol_Challenges_Firewall_Security.html

IeugeniyI
по всем каким не лень :-P
чаще всего тупо прёт по 80-му порту - так что закрывать тупо по Ip

BULLDOG
http://www.redline-software.com/rus/support/articles/isaserver/config/publishing_secure_ftp_servers_behind_isa_firewalls.php
Оригинал: http://www.isaserver.org/tutorials/Publishing-Secure-FTP-Servers.html

Цитата:

Ребята как закрыть интернет Радио...... по каким портам оно работает ???
что то не пойму системы этой...... или к каждой фолны свой сайт, порт итд ?

ну как зыкравать по IP ?
например в Итюнс 1000 радиостанций......... каждая имеет своя IP да и попробуй его узнать !!!

IeugeniyI
а по другому никак, с точки зрения файрвола что радио что сайт, все одно и тоже. если только радио никаких заголовков в http не осталяет, тогда можно сигнатурами пробовать закрыть

IeugeniyI
тут да, несколько геморно всё вписывать - но по другому никак. Нынче времена такие - что бы софт стал популярным разрабом приходиться вкладывать в него возможность работы по целому диапазону стандартных портов, как та же аська например.
Но как правило в совокупности с другими методами всё настраивается...
Как вариант, если у вас стоит FWC и идёт авторизация по пользователям, то можно вбить искл для мультимедийных программ в ису, что бы fwc не авторизовал их (и при попытке коннекта в инет у них будет облом) - всяких винампов и т.д. популярных не так много...

Ну ещё варианты как правильно выше сказали сигнатуры всякие, можно посмотреть что-н с контент тайпом (но это врядли думаю) и т.д... + организационные меры
Вобщем тут комплексный подход нужен.

Lazy KoT
greenfox
Огромнейшее спасибо, все заработало!!!!!!!!!

Срочно прошу помощи.

В организации установлены
1. MS ISA 2006 Standard SP1 + Win2003 R2 (лиценз.)
2. Internet Access Monitor 3.8
3. TrafficQuota 2.3

Установлены относительно недавно.

Пользователи работают под статическими IP адресами без авторизации.

Все началось с того, что пользователи стали жаловаться на неправильную статистику. Пример: 1. по данным TrafficQuota пользователь накачал 480 Мб, а по данным IAM 780 Мб. Протоколы везде HTTP.
2. Есть специализированная программа, работающая на нестандартном порту. Раньше пользователю хватало 300 Мб и для Интернет и для данной программы, после установки ISA потребление только данного ПО составило более 1Гб!

Но больше всего меня поразил следующий факт. Сильные расхождения начинаюися, когда пользуешься программами ускорения закачек, например Download Master

В качестве эксперимента я замерил траффик на одном из компьютеров. По данным TQ было 182.60 MB. Скачал файл программой Download Master объемом 21 MB. В результате получил конечный траффик по данным TQ 358.47 MB. Т.е. в 8 раз больше реально потребленного!

Добавлено:
Срочно прошу помощи.

В организации установлены
1. MS ISA 2006 Standard SP1 + Win2003 R2 (лиценз.)
2. Internet Access Monitor 3.8
3. TrafficQuota 2.3

Установлены относительно недавно.

Пользователи работают под статическими IP адресами без авторизации.

Все началось с того, что пользователи стали жаловаться на неправильную статистику. Пример: 1. по данным TrafficQuota пользователь накачал 480 Мб, а по данным IAM 780 Мб. Протоколы везде HTTP.
2. Есть специализированная программа, работающая на нестандартном порту. Раньше пользователю хватало 300 Мб и для Интернет и для данной программы, после установки ISA потребление только данного ПО составило более 1Гб!

Но больше всего меня поразил следующий факт. Сильные расхождения начинаюися, когда пользуешься программами ускорения закачек, например Download Master

В качестве эксперимента я замерил траффик на одном из компьютеров. По данным TQ было 182.60 MB. Скачал файл программой Download Master объемом 21 MB. В результате получил конечный траффик по данным TQ 358.47 MB. Т.е. в 8 раз больше реально потребленного!

dedmad
это не проблема исы , это проблема кривых считалок, а tq вообще не позиционируется как считалка трафика, и скорее всего ей обгадился на dm потому чт опоследний открывает закачку одного файла в несколько потоков.
проверь для начала тот же трафик руками по логам

Цитата:

это не проблема исы , это проблема кривых считалок, а tq вообще не позиционируется как считалка трафика, и скорее всего ей обгадился на dm потому чт опоследний открывает закачку одного файла в несколько потоков.
проверь для начала тот же трафик руками по логам

Каким образом проверить руками по логам?
Если IAM кривая считалка, то какая считалка тогда прямая? Руководство требует отчеты по ежемесячному потреблению трафика. Где их готовить?

dedmad
а что в статистике трафика от провайдера?

dedmad
лезешь в лог файлы напрямую и считаешь

dedmad
А втроенный генератор отчетов, чем не подходит, он же по логам отчеты и генерит?

Lazy KoT
советую забыть про встроенные отчеты и не упоминать об этом убожестве под страхом смертной казни )

hardhearted
Что конкретно в "не буду упоминать об этом убожестве" криво? Глянул, вроде считает, но вот на сколько точно - не знаю. На работе анлим, как-то не приходилось траффик учитывать.

Цитата:

dedmad
А втроенный генератор отчетов, чем не подходит, он же по логам отчеты и генерит?

По нему у меня выходит 18 Гбайт, почти как целый офис потребляет!

Если сформировать отчет по всем IP-шкам в IAM, то суммарный трафик примерно сходится с трафиком провайдера. Но IAM тоже врет при загрузке в несколько потоков. В прошлом месяце качал прогу для Мини-АТС и получил объем в 200 Мег! Реальный объем файла 29.

dedmad
а что иам может показать трафик с выборкой даже одной закачки?

Цитата:

dedmad
а что иам может показать трафик с выборкой даже одной закачки?

Не может. Но когда сервер с которого качал файл выходит на 1 строчку с бешенным трафиком становится понятно, откуда растут ноги.

dedmad
не все так очевидно как кажеться, и вместо того чтобы строить глупые предположения и гадать откуда у кого растут ноги а у кого руки, взял бы и проверил по исашным логам, и сразу стало бы понятно кто косячит.

тут про логи пишут,так мне интересно.
меня устраивает 2004 версия по логам своим (ну когда смотрю допустим equal ip) там так удобненько - пакеты,пакеты и additional (по плюсику)есть к каждому, но вот уже со второй 2006 смотрю - ну нигде не могу вкл. такую опцию(может коенчно есть она?) что так же удобненько было?

а второй вопрос,такого плана, вот захотело начальство сменить эту 2004+bandw.splitter на 2006 - на другую машину: то же название тот же ip будет но только другая железяка с 2006+bandw.splitter.
так вот вопрос у меня появился - желаю чтоб,вывед из домена сервер с 2004-й в правилах были domain user(и в bandw.splitter) - останутся? или только sid отображать будет при входе в isa managment?

dedmad
Цитата:

Если IAM кривая считалка, то какая считалка тогда прямая?

SawMill
Правда, в свое время, пришлось ее "затачивать" на формат логов ISA

Коротко о проблеме: Нужно проковырять дырку на пиксе от клиентской машины до ISA 2006. Они стоят в разных сетках, все успешно ходит. Пользователи ходят в и-нет через ISA. Установленный ISA клиент сервер не видит, хоть убейся. Опция поддержки на ISA включена. В клиенте введен правильны ip адрес исы. Вывод: видимо он банится на пиксе. Осталось узнать протокол и порт по которому клиент общается с сервером ISA. Кто-нить сталкивался? В хелпах к исе инфа смешная по содержанию касательно протокола общения. Упреждая вопрос : "нафиг он тебе нужен если все ходит и так?" расказываю большую проблему:

Задача пропустить бухгалтерский налоговый Референт (его части Спринтер и собсно клиент обмена Taxcom) Так вот этот самый TaxCom общается с серверами налоговой по 110 и 25 порту. Казалось бы все просто. Создал правило, разрешил с этого ip ходить по SMTP и POP3 и все тут. Но нет, POP3 пошел, а вот SMTP ни в какую. В логах ISA вообще не видит, чтобы кто-то с клиентского IP лез. Для того и ставлю ISA client чтобы он направил эту программулину на ISA, так как Taxcom настроек прокси не имеет, и видимо эксплореровских не понимает...(хотя это чудо какое-то)...

Tovaris4

Цитата:

(The Control channel is a means for the ISA firewall client and the firewall service to communicate information. Authentication, LAT information and name resolution queries are examples of what is sent within the control channel link up. Note: no data is sent along this channel. TCP and UDP Port 1745 is used for port negotiation and DNS queries.)

Отсюда

Всем привет! Срочно надо решить такую задачку - помогите придумать как...
Есть две сети (филиалы) без "доверительных отношений", т.е. VPN и любые другие постоянные подключения между сетками не требуются. В каждой сети есть VoIP шлюз имеющий внутренний IP-шник подсети работающий по H.323. Можно ли на ИСЕ с каждой стороны настроить перенаправление всего трафика Н.323 с внешнего интерфейса на внутренний IPшник VoIP шлюза без организации каких-либо подлключений (PPTP, P2TP/IPSec и т.д.) между сетями. Шлюзы естественно направить на внешние IPшники филиалов.

Нужен совет: Есть 2 сервера с 2 сетевыми картами.

Нужно настроить кластер ISA 2006, но не просто NLB а если один выходит из строя, чтобы второй работал без проблем.

Доки читал. Также интересует на какой сервер ставить роль Configuration Storage Server, на серверы кластера или на отдельный?

Tvarogok


Цитата:

Нужно настроить кластер ISA 2006, но не просто NLB а если один выходит из строя, чтобы второй работал без проблем.

Значит нужно поставить два Enterprise Edition и всё!


Цитата:

Доки читал. Также интересует на какой сервер ставить роль Configuration Storage Server, на серверы кластера или на отдельный?

Если бы читал, то сразу бу понял, что Configuration Storage Server рекомендуется ставить на отдельный ПК или на виртуалку.

anton04 Ну хоть кто-то помог

PS А можно ли установить на обоих серверах кластера роль CSS?

Здравствуйте All! срочно нужна помощь Помогите разрулить ситуацию
Есть офис (1) 30 компов Domen(192.168.1.0/24), Ad, DNS, DHCP, интернет через ISA, свой почтовый сервер на ISA2. Сюда же переехали еще две дочерние фирмы (уплотнились, кризис мля).В одной 18 компов Domen(192.168.2.0/24), Ad, DNS , интернета нет. Во второй (192.168.22.0/24) 9 компов рабочая группа. Задача раздать нет и почту через ISA (сетки 192.168.1.0) в новые две сетки не изменяя их структуру. Почта будет в том же сервере на ISA2.