» Microsoft ISA Server 2006/2004/2000 & TMG/UAG (Часть 4)

geminisf
такие портянки прячь за тег more.
если не ковырять системные правила, то создай такое правило:
name action protocol from to condition
"Allow ping" Allow Ping AllowPingCompSet External All Users
где AllowPingCompSet - сет с машинами, которым нужно пинговать хосты снаружи.

и еще, на внешнем интерфейсе dns пропиши свой внутренний (192.168.11.14)

DalayLamer

Цитата:

и еще, на внешнем интерфейсе dns пропиши свой внутренний (192.168.11.14)

зачем это еще? ересь какая. если иса в домене то у нее должны быть прописаны внутренние доменные dns, и обычно на внутреннем интерфейсе, дублировать на внешнем нет смысла, собственно винде в принципе по барабану на каком интерфейсе вписан днс

geminisf
если логирование включено то в логах у исы по любому что то должно быть, если клиент конечно шлет пакеты на ису. анонимные (а для securenat могут быть только такие) правила желательно ставить выше неанонимных

hardhearted

Согласен с утверждением насчет dns. Правило создано как написал DalayLamer. Пугает то, что в логах ничего нет. Т.е. до isa видимо ничего не доходит. Значит ли это, что неверные настройки windows на клиенте. Проверяю.

geminisf
вот фрагмент лога, где показано прохождение ping:
http://img193.imageshack.us/img193/3421/sshot4j.png

DalayLamer

Да я знаю как он должен выглядеть . Дело в том, что лог совсем пустой если на клиенте запускаешь ping. Вообще ничего. Вот что странно. Значит чего то в винде на клиенте видимо.

поставь wireshark или MS network monitor. тогда видно будет, что там проходит.
если пакеты идут, а в ISA Loggin' их нет - то, думаю, надо валить именно на логгирование, а не на клиента.

оффтоп:2hardhearted. обратился к первоисточнику, к Шиндеру.
действительно, он пишет, что при наличии во внутренней сети DNS сервера, который обрабатывает и внутренние и внешние имена не нужно на внешнем интерфейсе указывать какой-либо DNS.
тут рассмотрены 4 сценария настройки DNS:
http://articles.techrepublic.com.com/5100-10878_11-5837067.html

DalayLamer
да вопрос был даже не в том что не указывают на внешней сетевухе, а в том что ты предлагал прописать там точно такой же внутренний днс который был уже вписан во внутреннюю сетевуху - это попахивало каламбуром каким то

Добрый день.

Подскажите пожалуйста, на форуме вроде бы не нашел.

У нас есть база данных пользователей и способ шифрования на MS SQL +АСУ Университет,

Поставили много точек вай-фай ( для доступа студентов) в интернет, нужно нам связать ISA что бы он авторизировал наших студентов.
1. Через Веб-интерфейс ( студент открывает допустим www.lenta.ru) если он не авторизирован, то ИСА требует авторизацию через веб-форму ( как в интернет кафе или гостиницах).

2. Мы можем с эмулировать radius сервер. Но не желательно.

Нам очень нравится решение 1.
Какие существуют решения?

beketacademkz
у исы каких, только если эмулировать поддерживаемые методы аутенфикации или как нормальные люди использовать AD
еще как вариант вбить эту т.н. "базу" в локальных юзеров исы.

Добрый день,
Ответьте пожалуйста на пару вопросов. Имеется ИСА 2004. Возможно ли средствами сервера
блокировать загружаемую рекламу, баннеры, блокировать выборочно элементы со страниц, блокировать страницу по части URL-а.
Если ИСА не способна на это, какие сторонние решения для ИСА-сервера посоветуете, есть ли бесплатные?

Не получится использовать АД (так как у нас порядка 20тыс. пользователей).
Где можно копать в строну эмулации авторизации.

OneAdmin
Бесплатные незнаю
А из платных пользуюсь SurfControl WebFilter

beketacademkz

Цитата:

Не получится использовать АД (так как у нас порядка 20тыс. пользователей).
Где можно копать в строну эмулации авторизации.

Можно сделать проще, зайди в "проверка подлинности", сними галку "встроенная" и поставь "обычная". Теперь ISA у всех будет запрашивать логин и пароль.

OneAdmin


Цитата:

Возможно ли средствами сервера блокировать загружаемую рекламу

Это как это загружаемая!? Весь контент в сети вообще-то загружаемый.


Цитата:

баннеры

да


Цитата:

блокировать выборочно элементы со страниц

Смотря, что имеется в виду под элементами страниц, если эти элементы содержат URL на другой сайт, то да.


Цитата:

блокировать страницу по части URL-а.

да

OneAdmin
рекламу и банеры ничем не отличаются от других страниц, поэтому их можно блокировать как и любые другие страницы.
что такое "элементы страниц" я не знаю, но иса может блокировать контент по расширению или mime type, а также по http заголовкам и частям урл

beketacademkz
вообще то 20К юзеров для ad совершенно не проблема, хотя конечно поднимать ad для студентов ради одного только инета совершенное извращение, собственно также как и использовать ису с такими целями
посмотри в сторону продуктов используемых в домовых и wifi сетках а про ису забудь, она совсем для другого.

SergeyMark

Цитата:

Можно сделать проще, зайди в "проверка подлинности", сними галку "встроенная" и поставь "обычная". Теперь ISA у всех будет запрашивать логин и пароль.

ага, как же, у него список юзеров и паролей в совершенно левой самописной базейке, к винде не имеет никакого отношения, как по твоему иса будет запршивать данные оттуда? )
и кстати галка эта относится только к веб прокси клиентам и имя-пароль иса в случае прокси будет запрашивать всегда, когда ей не предоставили данные, даже если basic не включен.

Спасибо всем за ответы.
И еще, возможно блокирование картинок размера Х*Y?
А как заблокировать по части URL-a, как это записывается и где? Вот пример кусков :
&affiliate_banner_id=
.?ban=

OneAdmin
http filter - signatures

народ, кто подскажет: почему, когда я использую подключение только по SecureNAT, то в сессиях появляется подключение еще и Web Proxy ?
Вот скрин:



У меня НЕ организован Proxy на ISA сервере.

contrafack
потому что обращения по http идут через фильтр webproxy, вне зависимости от типа клиента
кажется так ...

так и есть, http по умолчанию иса проксирует принудительно и прозрачно

2hardhearted

Конечно, для АД не проблема, у нас система организации и управлению учебного процесса университета ( у студентов свои страницы, где показаны их балы и УМКД и т.п. )

Теперь задача всем студентам предоставить доступ в интернет, у нас своя система шифрования паролей. Исходные пароли не хранятся и мы не можем их конвертировать в АД.
Так, как ежедневно происходит смена паролей ( забыл, потерял). И для контроля социального взлома, контролируется на местах ответственными людьми порядка 400 человек. Поэтому организовать для них работу с АД, почти не возможно.


Нам хочется сделать, как в отелях, где бы студенты и преподаватели вводили пароль и логин в веб форме и далее заходили в интернет.

мы можем эмулировать радиус сервер, но это не желательно. Хочется через Веб-форму.
И существуют такие решения, ведь есть же в аэропортах и ресторанах, кафе и отелях, доступ по паролю и логину и авторизация через веб-форму. Подскажите куда копать ?

beketacademkz
существуют конечно, но только не иса, этот продукт совсем для другого сектора и других целей. копать наверна гугл

OneAdmin


Цитата:

И еще, возможно блокирование картинок размера Х*Y?

нет.

ISA же вроде умеет блокировать определенные сайты. можете сказать как надежно можно блокировать определенные соц.сайты и остальные "не рабочие сайты" ?

contrafack
средствами ISA:
- блокировать по IP (создать правило запрещающее трафик на заданный сет)
- блокировать по имени (создать правило запрещающее трафик на заданный URLсет)
енти правила должны быть выше, чем разрешающие инет, естественно.

если будут использовать анонимайзеры - то, только отслеживать по логам активность и применять административные меры

DalayLamer

спасибо. а можете чуть-чуть разьяенить создание правило по заданный IP и URL ? с порт-протоколами разобрался, а вот с этими как то не понятно пока

contrafack
куда уж подробнее?
создать правило <deny> <all outbound traffic> from <internal>&<localhost> (или <anywhere>) to <BlockedIP> & <BlockedURL> for <AllUsers>
где BlockedIP - енто computer set с ip адресами блокируемых сайтов и
BlockedURL - URL Set с именами блокируемых сайтов. создаешь сеты, заполняешь чем надо пишешь енто правило в ISA и радуешься результату.

DalayLamer

понял ))) но хочу сказать, что фильтрация по URL очень убогая у ISA.

Подскажите юзаю анализатор логов Internet Access Monitor все всем нравилось, а теперь прищел новый шеф и хочет не просто имя сайта и кольчество трафика которое пользователь с сайта скушал в логе видеть, а вплоть до полных URL путей файлов которые качались как можно такой отчет сделать в IAM или подскажите что то другое чем можно получить такой отчет?
Заранее спасибо.

contrafack
может не в фильтрации дело а в руках? )
что тебе еще от фильтрации надо?

yakostik
не знаю умеет ли такое iam но просто по логам собрать данные вполне можно