» Microsoft ISA Server 2006/2004/2000 & TMG/UAG (Часть 4)

Левых аддонов нет
Когда смотришь журнал, то всякие пинги, трассировки, web и почта, а через телнет не может, из-за этого почтовый клиент не работает на одной машине, а с другой вообще все работает как будто на ней напрямую подключен инет %). Вообще ничего не понимаю.

lex_de_graaf
Слушай, я тут глянул твою строчку:
Цитата:

telnet mail.ru 110

что сие значит, так ты почту точно не получишь, как минимум
Код: telnet pop.mail.ru 110

lex_de_graaf

Цитата:

а через телнет не может

что значит не может? что в логах то написано?

Цитата:

fella
а если в Sql базу их писать?

такой вариант еще не пробывал...ибо поднятой sql в доступе нет
но попробую конечно, но все таки и в w3c и msde должен ведь правильно писать?

Цитата:

fella
а тт в каких логах смотрел? http и остальное в разные файлы пишутся.

в какие?
Есть лог по фаерволу, есть по вебпрокси(он не используется - для этого лога нормально быть пустым). Инфа в общем считывается с обоих...

Но ведь и встроенная служба генерации репортов пишет неверную инфу, т.е. как я понимаю isa не понимает свои же творения.

ЗЫ или найти время и переставить ISA? =\

ripev
Сим telnet pop.mail.ru 110 я просто пытался проверить есть доступ по почтовым портам или нет
Правила написал. Все как положено. Допустим с моего компа все работает, мэйл-клиент забирает и отправляет почту, у коллеги, подключенного в тот же свитч не работает.
Правило на ISA нечто вроде:
Правило: webmail
Действие: разрешить
Протоколы: pop3, smtp, imap
Откуда: внутренняя
Куда: внешняя
Пользователи: для всех пользователей

ISA клиента на ни на моей машине, ни на машине коллеги нет. Если установить, то все начинает работать как будто ISA нет

В логах нет записей, потому что даже попытки соединения нет. Хотя неделю назад у коллеги все работало так же как у меня. Изменений в сети, а так же на его компе не было (коллега был в отпуске, комп был выключен)

Здравствуйте!

Посоветуйте, пожалуйста, софт, который мог бы подружиться с ISA 2006 для создания ограничения пользователям доступа в Интернет по времени - а именно счетать суммарное время, которое расходует браузер на загрузку страницы и иметь возможность закрыть доступ после превышения квоты.

Заранее благодарен!

jk84
такой вопрос я уже где то видел, и единственным ответом на него было написать свой фильтр, видимо такой идиотизм больше никому не нужен был
lex_de_graaf
сетевые настройк ина компах нормальные? dns нормально работает? выше твоего правила есть какие нить другие включающие pop3 протокол?
fella
иса пишет все, при любых типах логов, если конечно настроено правильно и в правилах галка стоит

hardhearted
То что ты видел - это был тоже мой вопрос.
Но уж очень хочется найти решение поставленной задачи без замены ISA на UserGate, например, который предоставляет возможность подобного ограничения.

jk84
на исасервер.орг смотрел раздел софта?
если не можешь найти софт то варианта два: не умеешь искать или такого софта нет ибо он не нужен никому. софт просто так не появляется, должен быть спрос на него
иса задымывалась как корпоративный фаер, нормальные компании не ставят таких временных ограничений

Цитата:

fella
иса пишет все, при любых типах логов, если конечно настроено правильно и в правилах галка стоит

а что настроено должно быть не так для сложившейся ситуации?

в настройках логов стоит:
1. Firewall logging properties
формат - w3c, галка "enable logging for this service"
удалять логи старше 90дней
2. Webproxy logging properties
формат - w3c, галка "enable logging for this service"
удалять логи старше 90дней

Во всех правилах стоит галка "log requests matching this rule".

В итоге результат никоим образом не меняется...считает криво как встроенный генератор репортов, так и сторонние IAM

fella
ну встроенный никогда точностью не отличался. сторонние тоже вроде настраиваить надо
а пробовал тупо посчитать самому?

Всем доброго времени суток!
Может кто знает как это сделать, стоит такая задача, для одной из доменых групп нужно обеспечить доступ из вне во внутренню сеть с заданного диапазона адресов, причем каждый из пользователей может зайти с любого из заданных адресов. Подскажите плиз.

alex1812
vpn

hardhearted
Я понял что надо надо настроить vpn клиентов, я не очень понимаю как ограничить их определенным диапазоном адресов ...

alex1812
а смысл?
можно попробовать погасить системное правило для впн и сделать свое с нужным диапазоном

hardhearted
Спасибо, разобрался

Цитата:

fella
ну встроенный никогда точностью не отличался. сторонние тоже вроде настраиваить надо
а пробовал тупо посчитать самому?

Встроенный на порядки все же не разнится.
Самому - это в экселе? Больно адская кострукция таблицы там но вот, если смотреть в экселе, то отчетливо видно записи с HTTP протоколом...=\

Попробывал поставить еще покси-инспектор для анализа логов, он насчитал уже больше инфы(в отличии от iam)...но для него опять что-то не ясны протоколы отличные от поп3\смтп\днс...т.е. он многое считает, как "неизвестный протокол" и соответственно он не может построить нормальный список наиболее популярных сайтов.

В общем, я в растерянности

День добрый.... Вообщем в конторе которую мы поддерживаем, стоит MS ISA 2006. Примерно год нормально отработала... Два последних месяца сильно возрос трафик(в 10 раз, входящий). Тоесть если раньше от провайдера приходил счёт за 5Гб, то последний раз за 50.

Попросили от них логи, у них циски. Логи красивые. Основной потребялемый трафик за 24 марта с ip
81.19.80.166(stream05.rambler.ru), я так понял это потоковое видео(порядка гига).

Собсвтенно проблема, этого трафика в отчётах ISA нет, даже близко. ТАм как были 4~5ГБ, так и осталось.... На юзерах стояло ограничение 350мб(low users), 500мб(privelege users), и admins - unlimimted, через TraficFilter. В ISA несилён, я больше по линуксовым серверам.

Собсно - как такое возможно, возможно ли вообще? Ошибка ядра isa? возможно ли увидеть тот трафик. Логи велись в SQL (MSDE).

fella

Цитата:

Самому - это в экселе?

зачем же сразу в такой экстрим, достаточно обычным logparser например

as2389

Цитата:

Ошибка ядра isa?

попахивает линуксоизмом )
а если по делу: ты чем на исе считаешь трафик? пробовал руками проверить по логам?

Цитата:

попахивает линуксоизмом

не не не... ряд решений просто не реализуем на линуксе.


Цитата:

а если по делу: ты чем на исе считаешь трафик? пробовал руками проверить по логам?

Стандартным средствами ISA. Но дело в том что я поставил PRoxyInspector, но он требует логи в W3C. Пераел формат новых логов, в w3c, а старые как посчитать?

as2389
[offtop]

Цитата:

Цитата:попахивает линуксоизмом
не не не... ряд решений просто не реализуем на линуксе.

я имел ввиду, что про ядра и их ошибки обычно говорят линуксоиды, у виндовых софтин обычно все скрыто и копаться в ядре кривым ручонкам не позволяют


Цитата:

Стандартным средствами ISA

встроенными репортами? забудь про них

Цитата:

старые как посчитать?

"старые" это какие?
вообще любые логи можно посчитать руками, например logparser о котором я уже упоминал не раз.

Помогите разобраться с соединением сетей
Есть две удаленные сети 10.10.1.0/24 и 10.10.2.0/24 в обоих сетях AD, DNS, DHCP на границах ISA. Нужно соединить. Генеральному кто-то нашептал, что билайн предоставляет крутую услугу называется IP VPN. В итоге от прова получили еще 2 адреса 10.10.3.1 и 10.10.4.1 для каждой сети. Соединить все равно нужно через ISA. Поставил 3-ю сетевую 10.10.3.0/24. И здесь заклинило, а дальше что? На ISA только один шлюз. Как из сетки 1 зайти в 2. Ткните в нужном направлении.

Цитата:

вообще любые логи можно посчитать руками, например logparser о котором я уже упоминал не раз.

Именно это я и хотел услышать)) не так часто имею дело с ISA, тока понять не могу как я logparser`у логи MDF и LDF то подкину, у него в input нет такого формата. W3C пожалуйста... Это первое. А второе, в папке ISALogs *.mdf,*.ldf всего за три дня, а за прошлые дни и месяцы где логи хранятся?

as2389

1. TraficFilter - это левый софт для исы (иса сама не может регулировать полосу пропускания, размер скачаваемого добра в день/месяц/год).
2. Если реально у тебя трафика больше чем было, значит виноват TraficFilter и ник-то более.
3. PRoxyInspector умеет писать логи в SQL и читать от туда... см. версию Enterprise edition Но сразу скажу считает он не ахти, самый вервый способ это собственные запросы в SQL.


Цитата:

а за прошлые дни и месяцы где логи хранятся?

Смотри внимательно остнастку исы, так указано куда, в каком формате и СКОЛЬКО дней они хранятся (после определённого колличества дней логи иса потирает, по умолчанию 7 дней).

P.S. Что мешает запретить потоковое видео?

2 Antdik


Цитата:

Соединить все равно нужно через ISA. Поставил 3-ю сетевую 10.10.3.0/24. И здесь заклинило, а дальше что?

Возможно в "Конфигурация" / "Сети" нужно создать сетевое правило, тип отношения задай "маршрут"

Antdik
у тебя на каждой стороне по исе?
тогда вообще не вижу никакой проблемы, все обыденно и банально
на третью сетевуху вешаешь выданный пчелайном ипшник, создаешь network для удаленной сетки, а дальше все как обычно network rule, firewall rule между сетками и в винде маршрут на удаленку.

hardhearted
Да именно так и сделал только адрес на 3-ю сетевуху поставил 10.10.3.2 а "выданный пчелайном ипшник" это шлюз и это меня смутило ведь два шлюза по умолчанию быть не может. На другой стороне тож самое. И не могу сообразить какой прописать маршрут в винде.

Antdik
а ты вообще знаешь что такое маршрут и что такое шлюз? очень советую прочитать книгу по сетям прежде чем браться за роутеры и фаеры.
route add -p сеть_назначения маска шлюз
я думал это знают даже хоумюзеры )

hardhearted
Вообще то знаю. Просто я очень костноязычен и к сожалению не умею толком объяснить проблему но попробую
ISA1
1-интерфейс External IP, шлюз
2-интерфейс Internal 10.10.1.0/24
3-интерфейс Билайн 10.10.3.2 (выдан шлюз 10.10.3.1)
ISA2
1-интерфейс External IP, шлюз
2-интерфейс Internal 10.10.2.0/24
3-интерфейс Билайн 10.10.4.2 (выдан шлюз 10.10.4.1)
Сети и правила на ISA созданы
Задача соединить эти сети через интерфейсы №3
На ISA ведь должен быть только один шлюз по умолчанию
Вот сдесь я и застрял. Подскажи если не сложно

Antdik

Цитата:

Вообще то знаю.

что то не похоже что знаешь )
я же написал - route add нужная_сетка маска билайновский_шлюз
ты в курсе что маршруты на сети можно писать отдельно, а шлюз по умолчанию один именно потому что он шлюз по умолчанию, туда посылается все для чего не нашлось нормальных маршрутов
и кстати маршрутизации в исе нет, и шлюзов в исе нет.
ps когда же люди будут учить матчасть хотя бы по винде