» Microsoft ISA Server 2006/2004/2000 & TMG/UAG (Часть 4)

Доброго времени суток!

Стоит Win 2003 + ISA 2006 довольно часто останавливалась служба межсетевого экрана с ошибкой:
ISA Server обнаружил петлю при последовательном соединении прокси. Возможно, это обусловлено ошибкой конфигурации политики веб-цепочки сервера ISA Server.

Из-за этой ошибки пришлось выключить фильтр веб-прокси, эта проблема исчезла, но появилась новая, не формируются отчеты по протоколу HTTP, а они очень нужны, как быть?

Jar24

В большинстве случает такая ошибка выскакивает если:

1. У вас установлен антивирус на исе.
2. У вас установлено квотирование трафика на исе.
3. Неправильно настроен внутренний DNS или интерфейсы на исе.

Метод решения для 1 и 2: снести всё нафиг (не отключить, а именно удалить).
Метод решения для 3: настроить интерфейся исы в соотвествии со статьёй. Настроить свой DNS на нормальное разрешение имён и т.п.

Доброго времени суток всем!
Имеется ISA2006Std Rus Sp1. Было 2 интерфейса- 1 внутренний и 1 наружу, юзеры наружу ходят через прокси, firewall-клиент не использую. Теперь появилась ещё одна подсеть, из которой клиентов надо выпускать напрямую через NAT. Ставлю в сервер ещё одну сетевуху, создаю в ISA сеть, привязанную к этой карте. В свойствах отключаю веб-прокси- страницы не отображаются. Включаю прокси- всё нормально работает. Как сделать, чтобы клиенты из одной сети ходили в Интерет через прокси, а из другой- через NAT?

Vovann2003
network rule между второй сетью и external делал?
dns настроены у клиентов второй сети и доступны?
диагностировать проблему хоть как нибудь пробовал? логи смотрел?
из всех внутренних сетей клиенты могут ходить и через прокси и через nat, ограничений нет

Привет всем!
Есть задача опубликовать SharePoint 2007 через ISA 2006 либо TMG использую двухфакторную аутенификацию, а именно сертификат на компьютер + Form-Based Authentication. ISA и SharePoint в домене, клиенты нет (сертификат будет вручную выписываться). Данная задумка реализуема или двухфакторная аутентификация работает только на связке SecureID + Certificate?

hardhearted
Спасибо за ответ! В принципе, я решил задачу (изначально я не настроил маршрутизацию между внутренними сетями), возможно, немного коряво- через NAT из второй подсети ISA не выпускала, если не снята галка фильтр веб-прокси в свойствах протокола HTTP.
З.Ы. С праздником, коллеги!
З.З.Ы. Кстати, можно ли в ISA для разных интерфейсов задать разные порты прокси- скажем, для одного 8080, а для другого 3128?

Всем привет!
Может кто сталкивался с проблемой. Пропадает голос при общении. Skype нормально подключается, чат работает, но как только голосовой вызов - нормальное общение невозможно. Слышишь только часть слов, а иногда вообще отключается. Канал в это время свободен. При тестовом звонке такая же проблема. В настройках Skype включил показ технической информации и увидел проблему: Jitter>200, Roundtrip>500ms, Relays = 4
Сравнивал с домашним Skype - Jitter=20, Roundtrip<100ms, Relays=0. Связь супер. Что-то где-то ISA фильтрует. Ещё одно. На ISA установил BSplitter, так когда его фильтры включены глобально, то про Skype вообще можно забыть. Jitter>400, Roundtrip>4000ms, Relays=4 (а больше и не бывает). В чём проблема, как где что покрутить?
Чтобы исключить влияние настроенных правил на доступ в интернет, создал правило для клиентской машины "Разрешить всё". В мониторе Bsplitter видел, что skype без проблем устанавливает все ему нужные соединения. Как я понял по документации skype любит UDP. Особенно это видно, когда в тех информации Skype отображает вот такую информацию
Local UDP status:BAD
Remote UDP status:GOOD
При включеном правиле "Разрешить всё"
Local UDP status:GOOD
Remote UDP status:GOOD
Однако проблема остаётся.

ghilton

QoS на исе стоит?

Bsplitter лучше пока удали (пока не решил проблемму) во исключение влияния стороннего програмного обеспечения на ису.
Если есть антивирусники на исе, их то же следует удалить (не отключить, а именно удалить).

SP1 для ISA Server 2006 стоит?

Вот почитай ещё (может наведёт на мысль).

Vovann2003
снимать эту галку не советую - http фильтры и кэширования не будет
у исы нет интерфейсов вообще (если найдешь где в консоли исы настраиваются интерфейсы - покажи )), а разных network настроить прокси можно без проблем

Господа, что подскажите, никак не пойму, как закрыть исходящий трафик с определенного порта локального компа. Исходящий трафик на порт, там все понятно. А вот исходящий с определенного... ИСА2006Станд. Общий смысл правила ->
Источник - Internal
Прокол - TCP(OUT)
Порт источника - ХХХХ <- трафик с этого порта и нужно запретить.
Назначение - External
Порт назначения - > Любой или конкретный, тут неважно в данном случае.

OneHunt


Цитата:

с определенного порта локального компа

Локального - это где стоит иса? Или локального в смысле любого другого за исой?


Цитата:

А вот исходящий с определенного...

Для исы это будет входящий порт

P.S. Удалённую машину она контролировать в принципе не может.

anton04
не путай человека, он имел ввиду именно исходящий порт (source port), входящий исы тут вообще не причем

OneHunt
у исы можно разрешить с определенного диапазона портов (кнопа ports на вкладке protocols), а вот запретить с определенного врядли, хотя быть может получится использовать ту же вкладку и для запрещающего правила

hardhearted
Да, это я в курсе, что разрешить можно там, где ты пишешь. Но нужно запретить. Если бы можно было множественные диапазоны проставить для резрешения, а там только один диапазон. Разрешить нужно все порты, кроме одного. Ну хоть ваще отказывайся... А ведь деньги заплатили. Может комбинация правил? Башню уже заклинило уже на этом.

OneHunt
а что мешает сделать правило типа deny для сети internal по протоколу (сам создашь новый, укажешь твой порт) в external для всех пользователей? Если нужно гибче, то либо с определенного внутреннего адреса запрещать по этому порту в мир ходить, либо если включишь авторизацию в правиле, то человеку понадобится ISA клиент, чтобы нормально работало правило. Только повесь это правило над разрешающими

ITeXPert
Да, но дело в том, что при создании протокола я могу указать только порт назначения. Мне же нужно блокировать "вообще все TCP - исходящее" с определенного порта источника. Т.е. локального компа, а не компа на который отправляются пакеты. Или я что-то не догоняю. В протоколе можно указать tcp порт как incoming, так и outgoing. Но, на сколько я понимаю, это касается направления передачи. Или ты хочешь сказать, что правило типа ->
1. Действие - Deny
2. From - Internal
3. To - External
4. Users - All Users
5. Protocol - >
5.1 Port range XXXX
5.2 Protocol Type TCP
5.3 Direction - Outgoing
Как раз и описывает исходящий порт ХХХХ?

OneHunt
Можешь и так попробовать, но в целом пониял что ты хочешь. Такое наверно лучше реализовать групповой политикой, если у тебя домен. Тупо разрешить локальному windows firewall блокировать все кроме того что те надо

ITeXPert
Домен есть, но по некоторым соображениям не хочу трогать глобальные политики. Нужно закрывать именно на шлюзе. Есть еще вопрос, можно ли без клиента на локальном компе, запретить приложению ходить через прокси?

OneHunt
ITeXPert
нет, в протоколе это задать нельзя, то что описано выше это исходящий протокол по порту назначения ХХХХ, порт источника там не указывается.
ты пробовал создать запрещающее правило с указанием исходящего порта, как я писал выше?
комбинация правил тоже может помочь, во всяком случая следуя алгоритму обьратки правил долно сработать

ps собственно, а зачем это надо? и нормальные люди сначала ставят задачу а потом уже покупают продукт под нее, а не наоборот, так что получили вы ровно то что оплатили

hardhearted

Цитата:

нормальные люди сначала ставят задачу

Вот именно. К сожелению, мне ИСА по наследству досталась. Повлиять на покупку я не мог. Слова о том, что FBSD + системный блок выгоднее и удобнее, не возымели действия. Так же и KWF, UG и прочее. Мне было сказано - M$ рулит и все. Через полгода этот товарищ уволился, а я теперь парюсь с этим.
Нужно все это, для того, чтобы заткнуть без клиента на компе некое приложение, работающее с этого порта. Еще было бы неплохо запретить этому приложению по HTTP ходить через прокси, также без клиента на локальном компе.

OneHunt
KWF и UG (уг это убычно унылое говно )) в случае корпоративных сетей оказываются совсем непотребством, это поделки для домохозяек. никсы конечно настроить очень грамотно можно, но у них нет аутенфикации ad юзера и вообще интеграции с ad.
заткнуть апликуху через http прокси пможно через сигнатуры в http фильтре

OneHunt
FreeBSDшника за стопицот метров видно (Без обид, я хоть и виндовый админ, Фряху люблю))))
И ису и сквид можно настроить, главное очень хотеть
И аутентификация есть с помощью самбы. Конечно не так удобно все настраивается, но все же есть.
Политики ты не трогаешь потому что не стлкивался раньше или чего-то недопонимаю? Можно сделать политику которая конфигурит файрвол на конкретной машине а не всем подряд, если чего могу описать подробно. По поводу фильтрации то как уже сказал hardhearted -> правой мышью на правиле -> Configure HTTP -> Signatures =)

На локальных компах остановлен фаэр из-за доп.софта. Вместо внесения этого софта в исключения, фэарвол просто останавливали. Изменять ситуацию геморно - перелопатить прорву компов руками придется. Поэтому и не прокатит политика. Аутентификация по пользователям не слишком нужна. Народ сидит за фиксированными компами. Политиками запрещены некоторый службы в домене. Чтобы появился пункт Configure HTTP нужно включить WEB фильтр в протоколе HTTP. В настоящий момент он отключен. Х.З почему, нужно думать над этим вопросом. Не хочется испортить случайно работу еще чего-нибудь.

ITeXPert
интересно как это с помощью самбы фряха проведет аутенфикацию приложений не умеющих прокси (то есть симитирует работу firewall client)?
для реализации такого надо для юниксового фаера (про прокси мы не говорим, ldap умеют уже все прокси, даже аппаратные) сделать механизм аутенфикации и написать агента чтобы на винду ставить (кстати где то читал что идеко так и сделала, правда не в курсах насколько прямо )
OneHunt
того кто выключил web proxy filter надо кастрировать, чтобы не размножался без этого фильтра иса как прокси перестает иметь смысл.
без аутенфикации иса вообще становится весьма неумным способом потратить 1.5К зеленых. ибо функции роутера она не выполняет (это целиком на винде, а у винды роутинг примитивный), и как следствие не может юзать два и более провайдера, по прокси функциям сквид ей ничем не уступит, по фаервол функциям никсы и циски также не уступят и в чем то явно превзойдут. так же нет встроенного шейпинга и квотирования.

hardhearted
Так вот и вопрос. WEB фильтр включу, если что перестанет работать, потом отдельно разобраться можно будет. Вот если бы политиками удалось на всех компах разом включить остановленный FW тогда и вопрос по затыканию порта решился бы. Пойду искать маны про WEB фильтр.

OneHunt

Цитата:

Господа, что подскажите, никак не пойму, как закрыть исходящий трафик с определенного порта локального компа.

Цитата:

Нужно закрывать именно на шлюзе. Есть еще вопрос, можно ли без клиента на локальном компе, запретить приложению ходить через прокси?

А что мешает на локальном компе зайти в свойства сетевой карты и открыть только нужные порты? _http://rapidshare.de/files/48036450/tcp_.jpg.html Или этот вариант не подходит?

SergeyMark

Цитата:

на локальном компе зайти

Имеется ввиду при помощи виндового брандмауэра? Это не совсем удобное решение в настоящий момент. Много компов обойти придется и руками что-то делать в них, если не получится подключиться удаленно. Правда один раз всего. Но пока нет такой возможности. Или фильтрацию можно с помощью политик включить? Наверное так и поступлю, хотя это не совсем верное решение на мой взгляд.

Сразу оговорюсь - все что написано ниже, это сугубо имхо не очень опытного ни в вин, ни в никсах админа.

OneHunt
Странно как то. Я сам очень люблю ису, но чем больше я читаю и разбираюсь в squide, ipcop'e и так далее тем меньше я понимаю почему же иса стоит 1.5 к зелени. Наверное из за дружественного пользователям интерфейса "смайлик". Ну и конечно тесной интеграции со всеми сервисами win систем. Если брать в рассчет бабло, то исе есть место если в конторе от 100 компов. И то...

hardhearted

Цитата:

никсы конечно настроить очень грамотно можно, но у них нет аутенфикации ad юзера и вообще интеграции с ad.

А вы уверены что это прямо правда на 100%? Или я чего то не понимаю. К примеру кларк коннект, астаро, тот же ideco вроде бы легко вытаскивает польлзователей из AD. Или Ldap. Это разве не одно и тоже?


Цитата:

Нужно закрывать именно на шлюзе. Есть еще вопрос, можно ли без клиента на локальном компе, запретить приложению ходить через прокси?

А вот про это вообще не понял. А что мешает создать элементарное правило типа deny > port xxx > from internal > to external

Сам сейчас пытаюсь отважно победить freebsd, ubuntu + squid & ipcop. Вроде бы в теории 100% замена исе, но на практике усиливает тягу к самоубийству.

Цитата:

А вы уверены что это прямо правда на 100%? Или я чего то не понимаю. К примеру кларк коннект, астаро, тот же ideco вроде бы легко вытаскивает польлзователей из AD. Или Ldap. Это разве не одно и тоже?

как прокси никсы и многие "аппаратные" штуки умеют лдап и очень давно, но для приложений которые через прокси не умеют такой штуки как fwc я не видел, хотя в принципе написать такое никто не мешает.
как я писал выше, видел подобное в описании идеко, правда не знаю хорошо ли это работает, но идеко например тоже денег стоит, и очень даже немало

ps и вообще это пустой треп, холивар винды против никсов вечен

Добавлено:

Цитата:

А вот про это вообще не понял. А что мешает создать элементарное правило типа deny > port xxx > from internal > to external

то что ему надо запретить коннект с определенного порта источника а не назначения, это разные вещи, читать следует внимательней

Цитата:

Сам сейчас пытаюсь отважно победить freebsd, ubuntu + squid & ipcop. Вроде бы в теории 100% замена исе, но на практике

ubuntu как сервер? дожили, уже десктопную линуксятину в сервера потянули. ipcop это что то новое, раньше вроде ipfw или iptables отцы использовали

To All
Спасибо за помощь, в принципе с помощью политик можно все что нужно включить, загнать в исключения и отфильтровать по порту. Но есть нюанс. Не везде стоит WXP PRo. Если W2K отреагирует криво на применение такой доменной политики, придется переустананвливать ОСь на компах. А времени нет...

OneHunt
что это за дикая такая софтина что появляется на всех компах, чем то мешает и которую просто нельзя удалить?