» Microsoft ISA Server 2006/2004/2000 & TMG/UAG (Часть 4)

Есть ISA 2004 на Win2k3, потребовалось входить снружи через VPN (узел-в-узел). Вроде все содал: правила, сети, пользователя... Не стартует RemoteAccessService. При подключении ошибка 800, в логах ИСЫ пишет:
Х.Х.Х.Х (Destination IP); 1723(Destination Port); PPTP(Protocol); Failed Connection Attempt; Allow VPN client traffic to ISA Server(Action Rule); N.N.N.N (Client IP); External(Source Network); Local Host (Destination Network)
FTP и RAdmin настроены и работают.
Помогите найти решение проблемы.

Необходимо выборочно запретить приложения для Firewall Client для определённых групп пользователей. Это возможно?

Da_Neil

Вопрос поставлен некоректно, может так: Необходимо выбранным приложениям запретить использовать FWC для связи с исой.

Если да то вот тебе статья, подскажет что и где сделать (хоть и для 2000 исы, а до сих пор ничего в этом плане не поминялось).

anton04

Цитата:

Необходимо выбранным приложениям запретить использовать FWC для связи с исой.

Верно, с поправкой: запретить не глобально для всех клиентов, а выборочно, по группам пользователей. Подозреваю, что штатными средствами это невозможно. У клиентов вроде бы имеется возможность индивидуальной настройки через .ini-файлы.


Цитата:

Если да то вот тебе статья,

Пролистал по диагонали: очень корявый перевод, куча устаревшей терминологии из 2000 и ни намёка на желаемую реализацию.

All
Нужен простейший вариант биллинга на ISA с возможностями ведения отчётов, детализации, лимитирования скорости доступа и трафика. Остановились пока на BWSplitter (хоть на биллинг и не тянет). Есть ли доступные альтернативы?

Da_Neil
Самого очень интересует этот вопрос. Сразу говорю, что Internet Access Monitor от ред лайн, точнее, кряки на него, конфликтуют с sql. Лицензионная прога - вообще гонит (выше писал). Usergate пробовал?

Da_Neil

Цитата:

Нужен простейший вариант биллинга на ISA с возможностями ведения отчётов, детализации, лимитирования скорости доступа и трафика. Остановились пока на BWSplitter (хоть на биллинг и не тянет). Есть ли доступные альтернативы?

ты не путай теплое с мягким, биллинг это одно, отчеты и детализация - другое, а квотирование и шейпирование вообще отношения к этому не имеют.
квотеров и шейперов уже достаточно, тот же bsplitter или tq
аналайзеров с репортерами тоже полно, я правда ими никогда не пользовался, и нужно выбирать какой строит подходящие отчеты, а в идеале можно строить самому без проблем, логи то есть
а вот биллинговых прог именно для исы немного, если они вообще есть, потому как никто в здравом уме не считает деньги для юзерей используя ису, компании обычно не берут деньги с сотрудников за использование инета на работе можно прикрутить левые биллинговые системы - текстовые логи хранятся в стандартном w3c формате, но нормальные (не самописные поделки чердачно-подвальных провайдеров на линуксе ) биллинговые системы стоят денег

anton04


Цитата:

Верно, с поправкой: запретить не глобально для всех клиентов, а выборочно, по группам пользователей.

Да какая фиг разница!? Крути как тебе угодно, GPO тебе в помощь.


Цитата:

У клиентов вроде бы имеется возможность индивидуальной настройки через .ini-файлы.

Есть, ну и что? Запретить изменять пожалуйста... а чё ещё хотца?


Цитата:

Пролистал по диагонали: очень корявый перевод, куча устаревшей терминологии из 2000 и ни намёка на желаемую реализацию.

Инициатива, батенька, наказуема. Можешь лучше пиши (переводи), выложим. Суть то и так понятна, чегошь тебе ещё надобно? См. внимательно, заходишь в консоль исы и идёшь в конфигурация-общие-определите параметры клиента межсетевого экрана. Это если тебе для всех сразу... а если индивидуально то юзай ini файл и GPO.

Подскажите, пожалуйста, стоит сервак с ISA 2006, в политике межсетевого экрана есть группа компов, которой разрешены любые действия. Но при запуске торрента - чек порт показывает, что порт закрыт (45247). Сделал отдельное правило на 1 комп в котором разрешил порты с 45240-45250, ситуация не изменилась. Куда еще посмотреть?
Да, ip статический.

mdkt

Все телепаты в отпуске!

См. логи исы при попытке коннекта и выкладывай их сюда (если хочешь чтоб тебе помогли).

ему наверное показывает что входящий порт закрыт, торренту он необязателен, он просто будет ругаться и все.
а входящие порты это публикация

наверно сложно изъяснил... Мало в "Дано" и много "Неизвестных".
Уже вторую неделю пытаюсь запустить... Остается переставлять сервак на выходных.

Народ подскажите пожалуйста
Два сервера ISA EE 2006 как без доменя заставить второй иса сервер подключиться к масиву.. можно в аську 320321561

Приветствую повелителей портов и протоколов!
Хочу подкинуть небольшую задачку и прошу помощи, суть в чем:
Есть сервер Win2K Standart SP2 на котором установлена ISA 2004.
Пользователи ходят в Интернет через web-proxy порт 8080, все стандартно.
Проблема в том, что за месяц утекает порядка 300 мб трафика на всякие счетчики типа tns-counter.ru
Создание запрещающего правила по имени домена или по ip-адресу ничего не дало. Трафик все равно уходит. Возможно это связано с тем что ссылка на счетчик не прямая а генерируется скриптом.

Код :

<!-- tns-counter.ru -->
<script language="JavaScript">
    var img = new Image();
    img.src = 'http://www.tns-counter.ru/V13a***R>' + document.referrer.replace(/\*/g,'%2a') + '*rbc_ru/ru/CP1251/tmsec=rbc_total/';
</script>
<noscript>
    <img src="http://www.tns-counter.ru/V13a****rbc_ru/ru/CP1251/tmsec=rbc_total/" width="1" height="1" alt="" />
</noscript>
<!--/ tns-counter.ru -->

Пожалуйста, подскажите как правильно настроить ISA и запретить трафик на счетчики.

Помогите решить проблему.

Есть ISA 2006 Ent. SP1. Есть правило, разрешающее HTTP из внутренней сети во внешнюю. Для внутренней сети разрешено использовать клиент межсетевого экрана.
Надо, чтобы все приложения ходили по HTTP через Firewall Client, без прокси. Соответственно, на клиентских компах установлен Firewall Client, а в настройках браузеров отключено использование прокси. Но ни IE8, ни Firefox 3.0.10, ни Opera 9 в Интернет выйти не могут.
IE8 пишет "Internet Explorer не может отобразить эту веб-страницу", Firefox пишет "Соединение было сброшено", а Opera просто показывает пустую страницу.
В логах ISA пишутся строчки "Начато соединение" и сразу "Закрытое соединение".
Я бы решил, что у меня ошибка в правилах, но Mini-Browser выходит в Интернет без проблем, также без проблем работает браузер, встроенный в Zend Studio.
Если отключаю Firewall Client, то через SecureNAT все приложения работают.
Уже ума не приложу, куда копать.

OverDope
Никогда не занимался блокировкой счётчиков...

А что, правило, типа "Bloked HTTP Url"-"Deny"-"HTTP"-"Internal"-"DeniedURLs"-"All Users", где "DeniedURLs" это объект типа "URL Sets", куда добавлено "http://*.tns-counter.ru/*" не сработает?

Alex Kud

Разберись, что такое SNAT, WebProxy и FW клиенты. Браузеры это WebProxy клиенты. Если у тебя в какой либо проге прописано IP и порт исы, то это SNAT клиент. Если у тебя на клиенте стоит Firewall Client, то все, что не подпадает под первое и второе это Firewall клиенты.

P.S. енто если упрощённо.

anton04

Если в проге в качестве прокси-сервера указан IP и порт исы, то это клиент WebProxy. Если установлен Firewall Client и прокси в программе не прописан, то это Firewall клиент. Если же Firewall Client не установлен или отключен и прокси в программе не прописан - то это SecureNAT клиент.

Бодрого времени суток!
ИСА 2006 стандарт СП2. С некоторых пор произошла ерунда ошибка 12206 иса чейн луп. Смотрел последовательность сетевых интерфейсов - всё норма, внутренний выше внешнего (белого). Убираю галки на веб прокси фильтрах (свойства протоколов ХТТП, ХТТПС) - всё работает. Но как-то по дурацки - подсчет трафа не ведется (прога лицензионная), внутренние средства исы в отчетах вообще какую-то чушь пишет - типа такого-то числа с этого компа скачано 25 гигов, хотя у нас лимит 3 ГБ и отключают моментально. Вопрос - где смотреть\редактировать веб прокси фильтр?

FL0od13

Цитата:

А что, правило, типа "Bloked HTTP Url"-"Deny"-"HTTP"-"Internal"-"DeniedURLs"-"All Users", где "DeniedURLs" это объект типа "URL Sets", куда добавлено "http://*.tns-counter.ru/*" не сработает?

нет, первая звездочка лишняя, читай правила написания масок в url и domain name sets

OverDope
иса как и любой фаер запрещает конкретные адреса, порты (протоколы) и т.д. короче все что указано в ip пакетах, а благодаря фильтрам и в более высокоуровневых заголовках (например http фильтрах), но в этих пакетах нигде не написано что это счетчик, поэтому выход один и самый просто - блокировать по имени или ип, как вариант по сигнатуре в url

anton04
чушь какую то написал )

pavel1978
даже боюсь спросить: а что ты хочешь в этом фильтре редактировать? dll-ку раскурочить? )

Значится так - блокировка по имени или ip не дает желаемого результата.
Решил проблему установкой ISA Server (Forefront TMG) Toolkit - набор бесплатных утилит, облегчающих работу администратора Microsoft ISA Server (Forefront TMG).

Пакет состоит из отдельных приложений, предназначенных для работы с данными Microsoft Forefront TMG и Microsoft ISA Server(конфигурация, лог файлы, XML файлы) и из Web фильтров, которые глубоко интегрируются в Microsoft ISA Server (Forefront TMG) и работают с ним в тандеме.

Для моих целей прекрасно подошел фильтр Response Modifier. После более глубокого знакомства хочу сказать что ISA Server (Forefront TMG) Toolkit маст хэв для всех кто использует ISA.
Кому интересно можно посмотреть здесь.
У меня пока только положительные впечатления
P.S Не сочтите за рекламу.
P.P.S. Спасибо всем за ответы и советы!

OverDope
ну кит уже давно известный, правда были отзывы что некоторые фильтры из него могут подвешивать ису.
насчет глубокой интеграции и работы в тандеме это сильно сказано, там обычные web фильтры, притом что даже некоторые не имеют к веб никакого отношения, просто написаны как веб фильтры любой хоть немного понимающий в программировании взяв sdk может понаписать свои фильтры

а чем там response modifier помог?

Помог тем что вырезает из тела страницы весь код скрипта, соответственно трафик на счетчик не тратиться и браузер пользователя никакую информацию никуда не отсылает. Думаю можно забить десяток самых распостраненных счетчиков рунета и съэкономить трафик на этом.
Что касается ISA Server (Forefront TMG) Toolkit я только сегодня об этом узнал. Может стоит добавить описание в шапку темы?

hardhearted
Т.е никак его не поправить, получается? А экспортнуть его можно как-то? Просто на одном объекте эти фильтры стоят, и всё подсчитывается корректно. А на другом - поставишь=> эррор+апдейт сервера по хттпс накрывается; уберешь фильтр с хттп\хттпс => всем счастье, но подчет трафика по этим протоколам как-то коряво ведется. А если тупо длл-ку скопировать с рабочего-вставить заместо нерабочей?

hardhearted

Цитата:

FL0od13

Цитата: А что, правило, типа "Bloked HTTP Url"-"Deny"-"HTTP"-"Internal"-"DeniedURLs"-"All Users", где "DeniedURLs" это объект типа "URL Sets", куда добавлено "http://*.tns-counter.ru/*" не сработает?

нет, первая звездочка лишняя, читай правила написания масок в url и domain name sets

pavel1978
ты уверен что дллка испорчена?

FL0od13
ну во-первых я писал "кажется", во вторых эт опо официальной доке


Цитата:

P.S. Кстати, а где нужно прочитать про правила написания масок? Здесь вроде пишут, что можно *.microsoft.com.

возможно дописали, раньше не видел этого


Цитата:

Я, например, чтобы открыть доступ к mail.ru, добавляю в URL Sets два значения:
1) http://mail.ru/*
2) http://*.mail.ru/*

я в таких случая всегда юзаю domain name set - проще и удобнее для целых доменов и поддоменов, не понимаю откуда у всех такая любовь к url set, я их юзхаю тока когда надо закрыть конкретную часть сайта

hardhearted

Цитата:

ты уверен что дллка испорчена?

Да я сам понять не могу, с февраля этого года такая ересь с этими веб фильтрами, просто не знаю, что уже делать... Разница со службой билинга - существенная. И, похоже, проблема на нашей стороне. Как-нибудь можно "напрямую", без утилит, это дело поправить?

Добавлено:
OverDope

Цитата:

Думаю можно забить десяток самых распостраненных счетчиков рунета и съэкономить трафик на этом.

а у меня этим трендмайкро 8 анимается Веб репутация включена, и если в апрув-листе не добавлен, например тнс-каунтер, она его блочит. Даже сайты каспера, где можно скачать бесплатные утилиты (против того же кидо-червя).

pavel1978
ну ты сначала разберись кто у тебя плохо считает, может это твоя левая "прога лицензионная" косячит? ты по логам руками посчитать пробовал? исашные отчеты не счет - они убоги до омерзения.

Здраствуйте!
честно, искал, не нашёл.. как открыть передачу файлов через аську?
протокол открыл полностью из всех во все сети, однако я кому то передать могу файлы, а из вне мне никто не может..

Tim2000
даже не задумывался над этим, все передается без проблем. аська естественно не через прокси настроена.

hardhearted
у меня квип, без прокси, файлы перестал принимать именно после установки исы.. причем бывает от кого-то принимает, от когото нет.