» Microsoft ISA Server 2006/2004/2000 & TMG/UAG (Часть 4)

Имею такую проблему - сервер ISA 2006, на этом же сервере стоит VMWare Server 1.0.9 , сеть гостевых машин настроена как Bridget ко внутреннему адапрету ISA, на гостевых машинах странный глюк - весь трафик между исой, локальными машинами и гостевыми ходит без проблем... трафик же с гостевых машин в Интернет работает очень странно - http и https работает, странички открываются, а вот пинг выглядит так - первый пакет на ya.ru (например) проходит а все последующие нет! и соответственно весь остальной ICMP не работает, если не слать запросы подождать минут пять - опять - первый пакет проходит остальные борода! В логах ISA - вообще чисто, нет каких либо записей о блокировании трафика, только о разрешенном.... при этом в сети есть другой шлюз (обычный adsl модем подключил для проверки) - через него гости работают без проблем - что подтверждает что проблема в ISA. ...куда посмотреть?

iknow


Цитата:

В логах ISA - вообще чисто, нет каких либо записей о блокировании трафика, только о разрешенном....

Цитата:

что подтверждает что проблема в ISA.

Не факт, может у тебя проблема с DNS? Как настроены клиенты, требуется ли абязательная аутентификация? Какие настройки на внешнем и внутреннем интерфейсах иса (ipconfig /all в студию)? Какие сетевые настройки на клиенте (ipconfig /all в студию)?

P.S. В общем ответь на все вопросы по порядку и тогда поличится разговор.

anton04

Цитата:

а вот пинг выглядит так - первый пакет на ya.ru (например) проходит а все последующие нет!

казалось бы причем здесь dns и аутенфикация (кстати галка работает только для прокси клиентов, которые судя по всему у него ходят)

hardhearted

в правилах ISA чистый NAT для всех, домена нет, dns провайдерские....

[more=ipconfig]Microsoft Windows [Version 5.2.3790]
(C) Copyright 1985-2003 Microsoft Corp.


C:\Documents and Settings\Administrator>ipconfig /all

Windows IP Configuration

Host Name . . . . . . . . . . . . : wall
Primary Dns Suffix . . . . . . . : local
Node Type . . . . . . . . . . . . : Hybrid
IP Routing Enabled. . . . . . . . : Yes
WINS Proxy Enabled. . . . . . . . : No
DNS Suffix Search List. . . . . . : local

Ethernet adapter VMware Network Adapter VMnet1:

Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : VMware Virtual Ethernet Adapter for VMnet
1
Physical Address. . . . . . . . . : 00-50-56-C0-00-01
DHCP Enabled. . . . . . . . . . . : No
IP Address. . . . . . . . . . . . : 192.168.0.1
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . :
DNS Servers . . . . . . . . . . . : 192.168.0.50

Ethernet adapter LOCAL:

Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Intel(R) PRO/1000 MT Desktop Adapter
Physical Address. . . . . . . . . : 00-07-E9-2A-B0-84
DHCP Enabled. . . . . . . . . . . : No
IP Address. . . . . . . . . . . . : 192.168.1.3
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . :
DNS Servers . . . . . . . . . . . : 192.168.1.3
Primary WINS Server . . . . . . . : 192.168.1.3

Ethernet adapter WAN:

Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Intel(R) PRO/100 S Desktop Adapter
Physical Address. . . . . . . . . : 00-02-B3-CE-9B-A0
DHCP Enabled. . . . . . . . . . . : No
IP Address. . . . . . . . . . . . : 84.23.41.XX
Subnet Mask . . . . . . . . . . . : 255.255.255.248
Default Gateway . . . . . . . . . : 84.23.41.XX
DNS Servers . . . . . . . . . . . : 192.168.1.3
NetBIOS over Tcpip. . . . . . . . : Disabled

C:\Documents and Settings\Administrator>[/more]

iknow

На Ethernet adapter WAN убери dns. На внешнем интерфейсе DNS`ов не должно быть как класса! Тем более у тебя там прописан внутренний DNS!

P.S. To All Настройка сетевых интерфейсов для ISA сервера

anton04

забыл сказать - на сервере стоит днс с перенаправлением на днсы провайдера, у клиентов в днс прописан адрес сервера... убрал с внешнего интерфейса внутренний адрес - ничего не дало - как проходил один пакет пинга у гостевых машин так только один и проходит - в исе логах чисто... странно это всё...

iknow

Ничего странного, прописная истина: Иса не занимается роутингом этим занимается винда.

От сель и пляши

P.S. Ты так и не ответил подробно на мои самые первые вопросы, а так гадать можно хоть до пришествия.

anton04
iknow
да роутинг и днс тут вообще не при делах, что вы к ним привязалсь - раз один пинг прошел значит:
1 адрес заведомо резолвится
2 маршрут есть.

когда пинг посылаешь кто отвечает на первый и что отвечают на последующие?

Добавлено:
anton04

Цитата:

На Ethernet adapter WAN убери dns. На внешнем интерфейсе DNS`ов не должно быть как класса!

это кстати не всегда верное утверждение
оно справедливо только когда у тебя есть домен и свои днс. при том что даже если есть свои днс но нет домена, то уже можно указывать внешние днс на исе, разницы особой не будет.

hardhearted


Цитата:

да роутинг и днс тут вообще не при делах, что вы к ним привязалсь - раз один пинг прошел значит:
1 адрес заведомо резолвится
2 маршрут есть.

Я указываю на те ошибки информацию о которых имею. Другой информации iknow не предоставляет.

hardhearted

когда пинг посылаю на ya.ru к примеру - кто на него должен ответить? 77,88,21,8 ... - один пакет проходит - последующие таймаут

anton04

да я кажысь все настройки свои дал - ничего там мудрёного нет, никаких маршрутов не прописано, ipconfig ISA я приводил и поправил dns как вы советовали - результата нет
вот с клиента [more=ipconfig]Microsoft Windows [Version 5.2.3790]
(C) Copyright 1985-2003 Microsoft Corp.

C:\Documents and Settings\Keymaster>ping ya.ru

Pinging ya.ru [77.88.21.8] with 32 bytes of data:

Reply from 77.88.21.8: bytes=32 time=5ms TTL=58
Request timed out.
Request timed out.
Request timed out.

Ping statistics for 77.88.21.8:
Packets: Sent = 4, Received = 1, Lost = 3 (75% loss),
Approximate round trip times in milli-seconds:
Minimum = 5ms, Maximum = 5ms, Average = 5ms

C:\Documents and Settings\Keymaster>ipconfig /all

Windows IP Configuration

Host Name . . . . . . . . . . . . : mail
Primary Dns Suffix . . . . . . . : vm.local
Node Type . . . . . . . . . . . . : Hybrid
IP Routing Enabled. . . . . . . . : No
WINS Proxy Enabled. . . . . . . . : No
DNS Suffix Search List. . . . . . : vm.local

Ethernet adapter Local Area Connection:

Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : VMware Accelerated AMD PCNet Adapter
Physical Address. . . . . . . . . : 00-0C-29-A8-6D-A6
DHCP Enabled. . . . . . . . . . . : No
IP Address. . . . . . . . . . . . : 192.168.1.100
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 192.168.1.3
DNS Servers . . . . . . . . . . . : 192.168.1.3
Primary WINS Server . . . . . . . : 192.168.1.3

C:\Documents and Settings\Keymaster>[/more] пинги с самой ISA (хост) идут нормально, пинги с гостей на ISA идут нормально, пинги с гостей через другой шлюз (не ISA) идут нормально, только через ису блокирует без обьявления войны...

ЗЫ
если к примеру переиграть местами - ISA поставить гостем в VMWare и сделать соответсвующие настройки то такие приколы не наблюдаются.... думаю так и оставить ... всё же чувствую чем-то задним что дело именно в ISA а не настройках сети...

iknow

Так, погодь, у тебя на исе поднят DNS для внутренней сети?
В мониторинге исы, при пинге, что есть (выложи всё)?
Преведи правила исы (которые ты сделал) с первого до последнего. Можно скриншотом, но шоб всё было видно.

iknow
в алертах у исы ничего не пишет по этому поводу? типа спуфинг и т.д.

hardhearted
anton04 правила isa



dashboard



кусок лога при пинге
http://narod.ru/disk/10128110000/log70.txt.html

iknow

Значит первое что бросилось в глаза сразу, разрешающие правила для внутренней сети и локального ПК (isa) должны быть выше остальных.

1. третье правило поднимаем в самый верх и разбиваем его на два (почему разбиваем, потому как могут быть глюки при указывании одного и того же источника назначения и отправителя в одном правиле).
Получаем 2 правила:
а) из Local Host в Internal
б) из Internal в Local Host

2. первое и второе правило можно объединить, т.к. источник назначения один, т.е. External.

P.S. второй скриншот вообще бесмысленный. лучше смотри/покажи закладку logging при попытке пинга.

anton04

лог я выкладывал в файле - http://narod.ru/disk/10128110000/log70.txt.html

сделал всё как вы советовали - перестроил правила ... результата 0 ... так и пропускает только один пакет из пинга минут за 5

iknow
да правила тут вообще не причем
косяк явно с взаимодействием с виртуалками, ведь не виртуалки нормально пингуют все.

iknow


Цитата:

сделал всё как вы советовали - перестроил правила ... результата 0 ... так и пропускает только один пакет из пинга минут за 5

Надежды на это и небыло просто непорядок в правилах был.

hardhearted


Цитата:

косяк явно с взаимодействием с виртуалками,

Согласен, тут явно не иса виновата.

Привет всем,

Прошу совета у тех кому удалось реализовать лимитирование трафика стандартными средствами.

Вкратце ситуация, установлен ms isa 2004 sp3. Логирование всех запросов по всем опубликованным правилам осуществляется в файлы isa сервера. Каждый день создается новый. Каждый день при помощи скрипта логи из файлов "сливаются" в ms sql базу, файлы после перемещаются на файловый сервер для регулярного бэкапа.

В основной базе несколько таблиц:

Таблица с лимитами пользователей, если пользователя там нет (только был зарегистрирован и уже серферил в интернете, то авматически создается с лимитом в 50 МБ). Таблица с данными статична, изменения вносятся вручную, если требуется исправить (увеличить,уменьшить) лимит.

Таблица с текущими показаниями трафика пользователя.

После срабатывает скрипт, который сравнивает текущие показания и лимиты, в случае превышения - перемещает учетную запись пользователя в соответствующую группу, которой запрещен выход в интернет.

А теперь вопрос, почему могут расходиться данные между нашей системой и анализаторами трафика сторонних производителей, а именно internet access monitor?

Насколько показал разбор полетов, isa server пишет в свой лог (речь идет конечно же о логах web proxy) абсолютно все (в том слуаче, если в опициях правила стоит соответствующая галка "log requests matching this rule"). Разрешено или запрещено, но пишет количество переданных и принятых байт. То есть, пользователь инициирует запрос, запрос проходит сверху вниз по опубликованным правилам, в случае совпадения по всем критериям разрешающего правила, веб-страница открывается, данные (принято,передано) записываются в лог isa server. В том случае, если запрос при обработке опубликованных правил подпадает под запрещающее правило, то веб-страница не открывается, но данные (приянто, передано) записываются в isa server. Правильно ли я размышляю? Отсюда можно предположить, что при анализе логов isa server не соответствие как раз таки в этом, так ли это?

У кого есть опыт реализации лимитирования трафика могут ли что нибудь посоветовать для правильной организации правил isa server'а, чтобы не допускать расхождений?

Ребята, эта же ветка форума называется "в помощь системному администратору", поэтому помоги мне убедить начальство и убедиться самому что нужно купить ISA Server 2006 Std, для офиса, а не Kerio Winroute или траффик инспектор.

А суть такова есть небольшой офис 15 компьютеров. Есть пару филиалов по 3-6 компьютеров в других городах. Ну 1С синхронизируется между филиалами. Планируется устойчивый рост в ближайшее время.

Так вот имеет ли смысл тратить 40000 рублей на центральный офис покупать ISA а не Kerio (18к рублей) или траффик инспектор (6660к рублей)? Потому что я даже сам себя не могу убедить. Я просто привык пользоваться исой, и так неохота возвращаться назад к этих жалким поделкам типа kerio, юзер гейтам и прочим траффик инспекторам.

Или я не прав?

Заранее спасибо. Извиняюсь за оффтопик.

lypky

Цитата:

Я просто привык пользоваться исой, и так неохота возвращаться назад к этих жалким поделкам типа kerio, юзер гейтам и прочим траффик инспекторам.

Я за ISA. Тем более если "Планируется устойчивый рост в ближайшее время." А для малых офисов существует пакет Small Business Server, который содержит ISA Server 2006. Юзер гейт, ИМХО, для любителей, а не для профи.

lypky
для 15 юзерей исы многовато, но если планируется реальный рост и развитие инфраструктуры, то один из аргументов в пользу исы это более продвинутая работа с ад
если же особо резво развиваться не планируется и интеграция с ад не критична, то намного дешевле и проще поставить никсовый или аппаратный шлюз.
тратить деньги на тот же керио смысла нет, все равно за винду еще платить придется
"я к этому привык" или "я это умею" это вообще не аргументы, их лучше не произносить, ибо сначала составляют требования, потом ставят задачу, под задачу выбирается софт, операционка, железо, и специалист который с этим будет работать, и именно в такой последовательности, а не наоборот, как делают многие )

Вопрос по блокировке контента....

Пользователь ходит в инет через следующее правило:
Name: Allow_Office_Users
Action: Allow
Protocols: HTTP, HTTPS, FTP
From: Internal
To: External
Users: Office_Users
В настройках HTTP Filter данного правила стоит блокировка Extensions:
.mp3
.exe
.com
и т.п.

Выше этого правла создал ещё одно для блокировки содержимого:
Name: Deny Content
Action: Deny
From: Internal
To: External
Content Types: Audio, Compressed Files и т.п.
Users: Office_Users

Но пользователь заходя по ссылке вида:
"URL сайта.ххх/index.php?go=Files&file=raus&id=539"
Свободно закачивает файл mp3....

Как заблокировать подобные закачки?

хм, а не наоборот должно быть - From External To Internal

>хм, а не наоборот должно быть - From External To Internal
Ну если ссылка прямо ссылается на файл с расширением скажем mp3, то блокировка работает...

blade000
ну так и сделайте такое же правило, только из Экстёрнал в Интёрнал, и посмотрите, может не будет пускать к
Цитата:

"URL сайта.ххх/index.php?go=Files&file=raus&id=539"

>ну так и сделайте такое же правило, только из Экстёрнал в Интёрнал, и посмотрите, >может не будет пускать к
>Цитата:"URL сайта.ххх/index.php?go=Files&file=raus&id=539"

Попробовал, без изменений, это правило вообще в логах не проскакивает при переходе по такой ссылке.

Tim2000
не пори чушь какое еще from external to internal? ты представляешь как иса фильтрует соединения и как задается направление у соединения?

Какие ещё предположения?
Как я понимаю файлики грузятся через php скрипт?

Приветствую!
Срочно!!!!
Помогите прочистить(изменить) данные в логах, т.е. мне нужно убрать, что такой то пользователь был на таком-то сайте и качал что-то такой-то прогой. Короче мне нужно подменить данные.
стоит MS ISA Server 2006

blade000


Цитата:

Но пользователь заходя по ссылке вида:
"URL сайта.ххх/index.php?go=Files&file=raus&id=539"
Свободно закачивает файл mp3....

Иса блочит всё или по расширению или по MIME типу, см. логи исы при закачке этого файла и см. какой MIME тип выдаёт удалённый сервер, если MIME тип другой он (само сабой) в блокирующий контент не попадает.

P.S. Щас очень многие сайты выдают неправильный/искажённый MIME тип файла при закачке, а то вообще переименовывают какой-то блаблабла.mp3 в блаблабла.db и всё, юзер после закачки меняет расширение и вперёд и с песнями.