» Microsoft ISA Server 2006/2004/2000 & TMG/UAG (Часть 4)

Цитата:

[/q][q]h1dden
порт ничего не решает. протокол то какой? случайно не https?

Да, https.

h1dden
так бы и писал, любой поисковик даст ответ про https на нестандартном порту - это написано во всех книгах и хелпах, иса это пишет в логах, и этот вопрос все равно на всех форумах задают примерно раз в неделю ) а все потому что некоторые люди не читают документации и не смотрят в логи и не пользуются поиском
ищи по слову isatrpe, сразу же найдется нужная утилитка и описание.

hardhearted

Цитата:

так бы и писал, любой поисковик даст ответ про https на нестандартном порту - это написано во всех книгах и хелпах, иса это пишет в логах, и этот вопрос все равно на всех форумах задают примерно раз в неделю ) а все потому что некоторые люди не читают документации и не смотрят в логи и не пользуются поиском
ищи по слову isatrpe, сразу же найдется нужная утилитка и описание.

Спасибо большое! Буду разбираться. Просто ИСА не мой профиль, а тут пришлось и срочно...

Здравствуйте! Есть две удаленные сети. В обоих AD, DNS, DHCP, ISA2006 (не на DC). На одной будет поднят VPN server. Раздача адресов для VPN- DHCP. Вопрос возник из-за того, что обе сети имеют адреса 10.10.2.0/24. Каких перехлестов следует ожидать в связи с тем, что IP VPN адрес выданный там совпадет с IP в локалке. Разрулит это ISA? или нужен другой диапазон?

Antdik
иса это не должна разруливать, разруливать проблема клиента а не сервера
если у клиента адрес на сетевухе совпадет с впн адресом то он сам не поймет куда какие пакеты слать

Получается, что выход только в изменении диапазона одной из сетей например на 10.10.3.0/24? или есть менее трудоемкий?

По предыдущему посту - что реально делать?
И второй вопрос кто-нибудь делал дефендер клиент-банк юниаструма из-за ISA сервер? Поделитесь опытом.

Antdik

Цитата:

Получается, что выход только в изменении диапазона одной из сетей например на 10.10.3.0/24?

да, здесь дело не в исе, это банальные аксиомы маршрутизации, которые ты не обойдешь пока используешь tcp/ip
можно конечно на клиенте попробовать писать маршруты в твою сеть через впн интерфейс с меньшей метрикой, но тогда локалка может стать недоступной
так что если у тебя реально два офиса то их всегда надо делать на разных подсетях


Цитата:

И второй вопрос кто-нибудь делал дефендер клиент-банк юниаструма из-за ISA сервер? Поделитесь опытом.

а в чем там проблема то? обычная прога, открываешь ей нужные протоколы и все

hardhearted
Что-то у меня не получается с этой обычной прогой. Она делает свой прокси настройки IE 127.0.0.1 а в настройках клиента указывается мой прокси. Протоколы открыты, но не работает. Может там какая особенность при работе из-за ISA. Можно ли проверить взаимодействие проги и клиента ISA?

Antdik
а что ты называешь клиентом иса?
в правилах исы аутенфикация требуется?
пробовал выпустить прогу не вписывая в нее проксей ису?
прога случаем не по https работает?

1. Клиент межсетевого экрана MS
2. Да
3. Пробовал не пошло
4. Работает по HTTP port 1400
В доке написано "Должна стоять только 1 галка «Использовать прокси-сервер…». " и далее "кнопка дополнительо -В первой строке HTTP прописываем 127.0.0.1 Порт 4040"

1 он тут вообще не причем, если работа идет через прокси то fwc курит в сторонке
2. пробовал выпустить анонимно? на 99% уверен что эту прогу-прокси на которую надо настраивать ie писали тупые и криворукие программеры, и аутенфицироваться она не умеет на исашной проксе.

и смотри логи в первую очередь, перед тем как лезть на форумы и писать вопросы

Цитата:

и смотри логи в первую очередь, перед тем как лезть на форумы и писать вопросы

Именно это и было сделано, но в логах этого компа вообще небыло. Снес созданные протоколы, юзеров. Сделал их по новой -Один к одному как было. на всякий рестарт сервера и все заработало Мистика блин

Доброго времени суток.
Встала задача привязать порт к определенному приложению(желательно по хешу).. Точнее запретить использование любых ICQ-клиентов, кроме ICQ 2003b, использование групповых политик не помагает(можно изменить имя файла, путь, хеш, народ у нас особо умный )
Есть ли какие либо механизмы для этого?

germesnsk1
у исы конечно же нет, откуда исе знать хеш приложения которое идет на порт? в общем случае ни один фаер не знает какое приложение ломится. в частных случаях fwc знает имя екзешника, и обычно проги идущие через прокси пишут в http заголовках user-agent, но и то и другое легко подменить.

Всем доброго времяни суток. Вот какая стоит задача - нужно ограничить закачку файлов более 10 МЬ, но только это а не весь траффик для пользователя. Смотрел TQ, Bandwidth Splitter v.1.21, GFI WebMonitor и ещё что то, уже не помню. Но такой функции нигде не нащёл.
Вот прошу помощи !!!

sandro_m16
такую функцию ты не реализуешь, файл всегда можно разбить на кусочки любым даунлоадером с докачкой

sandro_m16
Ты знаешь уважаемый, как то пару лет назад я так же пытался извратиться и сделать так чтобы и пользователям было хорошо и траффика много не хавалось и вообще и рыбку съесть и на хрен не сесть. Сделал обзор всех продуктов представленных на рынке и понял что в целом буржуи уже давно забили на подсчет траффика, ибо у них это давно уже не актуально. В итоге просто перетерли со службой безопасности и начальством и "устно" запретили пользователям качать всякую срань. Вдобавок еще сделали суточное ограничение траффика в пределах 10-50-100-200 мб. (благо такой софт в наличии есть в связке хоть с ИСОй, хоть с керио). И все - конечно там по началу были прецеденты типа... "ооо да я же это не качал!, это не я". Но после чисто символических выговоров и штрафов все устаканилось и пользователи стали тратить трафик по делу. Кому то просто был открыт инет только по выделенным направлениям. Ну в общем сами понимаете, что чисто "для работы" траффика и интернета нужно очень мало. Ну за редким исключением.

Ну это понятно что мир во всём мире не сделаешь.
Суть в том что ща у нас стоит SQUID и на нём такой финч реализован, но последнее время начались со SQUID проблемы. И начальством было дано указание перейти на ISA c сохранинем всего функцианала SQUID.
Спасибо что откликнулись.

sandro_m16
скажи начальству что нельзя пересесть с истребителя на бомбардировщик с сохранением всего функционала
ты не сможешь перейти с сквида на ису с сохранением всего, обратное утверждение тоже верно
и я сомневаюсь что сквид может отсекать закачку файлов кусками, а любой даунлоад манагер это умеет конечно частично это реализовать можно, например написать фильтр который будет анализировать соединения на предмет попытки скачивания одного файла кусками, и то придется решать за какие интервалы времени анализировать и что считать одним файлом (иногда ссылки могут менятся).
уже много раз было говорено что административные меры самые действенные.

Ладно мужики с этим всё понятно что так не получиться сделать. А если более координально, т.е определённым группам вообще закрыть закачку. Это можно реализовать как то на ISA или только через групповые политики на IE ???

sandro_m16
ты понимаешь что с точки зрения протокола закачка страницы, картинки и файла есть суть одно и тоже?
можно запрещать типы содержимого и расширения

Здравствуйте.

Есть Win2003 + ISA 2006. Предпринимается попытка настроить VPN для доступа клиентов во внутреннюю сеть.

Использован шаблон "Пограничный межсетевой экран", т.е. присутствуют системное правило 13 "Разрешить трафик от VPN-клиента к серверу ISA Server" и правило межсетевого экрана "VPN-клиенты к внутренней сети".

Способ назначения IP адресов - Протокол DHCP

В оповещениях ошибок и предупреждений нет.

Соединение клиента происходит, но клиент не пингут сервер и сервер не пингует клиента. Клиент не пингует внутреннюю сеть.

Единственное что работает - Outlook Web Access to Microsoft Exchange Server (Exchange на ISA не опубликован).

В чем может быть дело?



LAN

IP     10.10.10.32

GW     ---

DNS    10.10.10.200



WAN

IP    200.200.200.2

GW    200.200.200.1

DNS    ---



VPN сервер

DHCP IP     10.184.97.136



VPN клиент

IP         100.100.100.10

DHCP IP     10.184.97.156



route print на VPN сервере

Активные маршруты:

Сетевой адрес Маска сети         Адрес шлюза     Интерфейс     Метрика

0.0.0.0         0.0.0.0         200.200.200.1         200.200.200.2     10

10.10.10.0         255.255.255.0     10.10.10.32         10.10.10.32     20

10.10.10.32         255.255.255.255    127.0.0.1         127.0.0.1     20

10.184.97.136         255.255.255.255 127.0.0.1         127.0.0.1     50

10.184.97.156        255.255.255.255     10.184.97.136     10.184.97.136     1

10.255.255.255     255.255.255.255     10.10.10.32         10.10.10.32     20

100.100.100.10     255.255.255.255     200.200.200.1         200.200.200.2     10

127.0.0.0         255.0.0.0         127.0.0.1         127.0.0.1     1

200.200.200.0         255.255.255.240     200.200.200.2     200.200.200.2     10

200.200.200.2         255.255.255.255 127.0.0.1         127.0.0.1     10

200.200.200.255     255.255.255.255     200.200.200.2     200.200.200.2     10

224.0.0.0         240.0.0.0         10.10.10.32         10.10.10.32     20

224.0.0.0         240.0.0.0         200.200.200.2     200.200.200.2     10

255.255.255.255     255.255.255.255     10.10.10.32         10.10.10.32     1

255.255.255.255     255.255.255.255     200.200.200.2     200.200.200.2     1

Основной шлюз: 200.200.200.1

===========================================================================

Постоянные маршруты:

Отсутствует

route print на клиенте покажи

Добавлено:
вообще странно, если у тебя клиентам назначают по dhcp n ооткуда у клиентам такие кривые адреса раздают? должны быть такие же как и в локалке

Уважаемые знатоки!

Ситуация следующая:
Есть ISA 2006, есть сеть на неуправляемых свичах.
Загадка для меня остается тот факт, что на одной машине работает telnet mail.ru 110, а на другой машине не работает. Машины однотипные. Пинг работает на обоих, трассировка так же проходит.
Однако, после перезагрузки ISA 2006, у некоторых машин отваливается "разрешение", а у некоторых приваливает.
Если поставить межсетевой клиент, то все начинает "стрелять", но использовать клиента не удобно

Укажите где копнуть?

lex_de_graaf
ISA в домене? есть какие нибудь правила, где фигурируют имена пользователей?

давно не могу победить возникшую проблему с ISA 2004 sp3...может кто встречался

Не логах сохраняется только инфа о нескольких протоколах(поп3, смтп, днс, пинг и еще несколько), и то не по всем правилам. Т.е. по одному и тому же правилу видно следы по icq, pop3, но не видно других(смтп, хттп)...часть правил не упоминаются в логах совсем. Т.о. не могу заставить выдавать нормальную статистику всякие IAM и т.п.
Пробывал перезадавать формат хранения логов и место куда их складывать, во всех правилах включал-выключал отметку о том, что "сваливать в логи или нет".

При этом, если мониторить в онлайне(консоль - мониторинг - logging), то все там вроде проходит. Соответственно репорты генерируемые самой исой тоже не верны...даже разделы "web usage" вообще пустые

куда копать?

ripev
Да ИСА в домене, пока что я пытаюсь настроить в режиме "Все пользователи"
Инет на всех машинах работает. Правило на все машины всем пользователям.

lex_de_graaf
А что говорит ISA когда происходит подобное:

Цитата:

Загадка для меня остается тот факт, что на одной машине работает telnet mail.ru 110, а на другой машине не работает

fella
а если в Sql базу их писать?

fella
а тт в каких логах смотрел? http и остальное в разные файлы пишутся.
lex_de_graaf
логи что пишут? на исе ошибок нет? левый эддонов не стоит?