» Microsoft ISA Server 2006/2004/2000 & TMG/UAG (Часть 4)

hardhearted

Цитата:

может не в фильтрации дело а в руках?

да не сказал бы !
допустим, надо блокировать одноклассники ! делаю deny политику www.odnoklassniki.ru , но если в адресном строке набрать просто odnoklassniki.ru, то сайт откроется.

-----

Кстати, чем ISA server 2006 лучше, чем другие решение, ну , скажем Kerio winroute ? Есть у ИСЫ что то, что нет не у кого у конкурентов ?
Это чисто в моих интересах и никого обидеть не хочу )))

contrafack
уважаемый hardhearted прав.
впиши в url set *.odnoklassniki.ru и odnoklassniki.ru
а также все остальные имена, с редиректом на одноклассников.

DalayLamer

Цитата:

впиши в url set *.odnoklassniki.ru и odnoklassniki.ru
а также все остальные имена, с редиректом на одноклассников.

да ну ! тупая политика , серьезно. У IDECO есть интеректуальная контексная фильтрафия. там достаточно написать odnoklassniki.ru и все.

у ISA другие цели и задачи.
полагаю, вопрос можно считать закрытым

contrafack

Не тупая политика, а гибкая Вы сначало разберитесь с системой доменных имён, а потом уж утверждайте.


Цитата:

Кстати, чем ISA server 2006 лучше, чем другие решение, ну , скажем Kerio winroute

Этот глючный остой можно даже не упоминать, а то меня блевать тянет... (простите не сдержался).

Плюсы исы очевидны, это тесная интеграция с windows (кто лучше MS знает свою систему), гибкость, надёжность (за 4 года найдёна была только одна критеческая ошибка безопасности), высокая отказоустойчивость и масштабируемость.
По моему мнению ISA, сейчас, является лучшим корпоративным фаером для windows.


Цитата:

Есть у ИСЫ что то, что нет не у кого у конкурентов ?

Конечно есть, ведь если реализовать всё, что только можно то получится просто компот, притом съедобный или нет это ещё вопрос.

Нет билинга, потому как это фаер. Нет маршрутизации, потому как это дело windows. Нет квотирования, потому как isa нацелена на рынок где квотирование это зло.

contrafack
это не тупая политика, для меня как и для исы строки odnoklassniki.ru и www.odnoklassniki.ru различны. и бывают случаи когда нужно закрыть поддомен или хост (в данном случае www можно считать хостом домена odnoklassniki.ru) не закрывая весь домен.
domain name set и url set поддерживают знак * для обозначения поддоменов или путей в url, и даже позволяют писать *odnoklassniki.ru (без точки после *) что правда официально не рекомендуется, но использовать можно. в настройках фильтра можно закрывать по сигнатурам, в том числе и в url
одно из сильных преимуществ исы это прозрачная аутенфикация юзеров для не прокси приложений через fwc. раньше такого никто не умел, сейчас вроде кто то тоже сделал у себя такое, но особо не интересовался кто. а про керио я вообще молчу, поделка для домохозяек к тому же иса неплохо расширяема эддонами, в том числе и квотирование и шейпироние и биллинг можно приделать, правда в нормальных сетях это мало кому нужно. тот же самый упомянутый ideco стоит уже дороже исы если брять его на 100 юзеров (лицензируется на юзера), а по возможностям фаера не везде дотягивает.

народ, подскажите, что вот это означает?
скрин ошибки...
ставлю на w2k3 ee x86 sp1

Добавлено:
проблема решилась накатыванием SP2

Все таки давайте отставим "религию" )) тут беспорно.

вот мне такой вопрос интересует:
каким доп.программой можно "анализировать" ISA ? т.е. мониторить что к чему, какие сайты посешает народ и т.д.
Слышал о GFI web monitor. (лицензия есть)
что скажете как администраторы - администратору !

contrafack


Цитата:

каким доп.программой можно "анализировать" ISA ?

Надеюсь ты понимаешь, что это програмное обеспечение не относится к самой исе никоим боком
Программ такого рода до дури, да и GFI web monitor не лучший из них (нареканий в сети хватает). Сам я пользовался TrafficFilter (давно) и Bandwidth Splitter (сейчас), последнее в принципе нравится, нареканий нет.

народ, первый раз поставил ису, решил сразу Enterprise версию, установил и не могу понять почему нет доступа к инету в принципе, ниоткуда, правило настроил все для всех и все равно нет =( можете помочь?

Добавлено:
до этого работал с керио, а на ису смотрю и не врубаюсь, как баран на новые ворота...


Добавлено:
у меня ситуация следующая, я ИСУ установил в развернутой виртуальной сети (в сети есть AD), в физической сети есть прокси, где в исе указывается вышестоящий прокси я кажись нашел, но все равно не работает

newhk
что именно не работает? что пингуется? есть ли связь с AD, какие правила разрешены?
по дефолту в ISA запрещено все и надо писать разрешающие правила.


Цитата:

а на ису смотрю и не врубаюсь, как баран на новые ворота...

тут тебе Т.Шиндер и технет с msdn в помощь и только потом!!! уже браться за ISA.

Появилась проблема одновременного использования 2х прокси серверов на базе ms isa 2006 с разделением по времени. Т.е., например, в рабочее время с 8 до 18 используется прокси на proxy1:8080, а в нерабочее время с 18 и до 8 утра используется proxy2:8080
для решения задачи используем test.pac файл автоматического определения параметров прокси. Содержание test.pac следующее.

function FindProxyForURL(url, host)
{

if (timeRange(8, 18)) {return "PROXY c001-pr-04:8080";}
    else {return "PROXY c001-pr-01:8080";}

}

вопрос по использованию функции timeRange(). Какие бы переменные не задавались в качестве переменных, даже timeRange(1, 23), все равно браузер идет через PROXY c001-pr-01:8080.
Для проверки использовал pactester от google http://code.google.com/p/pactester/, он возвращает верный прокси, т.е. PROXY c001-pr-04:8080
Возможно ли какое решение?

anton04
Просто под рукой щас GFI как говорится - в России сначала купят что то, а потом думают что с ним делать

А на самом деле GFI web monitor не стоит использовать ?

alexy2601
к исе вопрос никакого отношения не имеет

contrafack
а что ты хочешь мониторить? если нужны отчеты да статистика то это смотри аналайзеры логов, иса все пишет в лог без сторонних прог, а сторонними или руками можно по логам составлять любые отчеты.

hardhearted

А вот зачем тогда GFI web monitor ?
P.S. млин, просто ситуация такая, что надо "изрсходовать" эту программку

DalayLamer


Цитата:

что именно не работает? что пингуется? есть ли связь с AD, какие правила разрешены?
по дефолту в ISA запрещено все и надо писать разрешающие правила.

нет инета в виртуальной сети, пинг в сети есть, АД пингуется с ИСЫ, а наоборот нет
обновления винды проходят, а инета нет
правило нгаписал разрешающее всем все (кажется правильно)
на исе появился инет

правило: весь исходящий трафик, от внутренней сети и лок. комп. на внешнюю сеть, действие - разрешить

newhk
то что не пингуется из internal ISA - енто странно. может чтото с режимами виртуальных интерфейсов? подробности в студию.
если с сетями не напутал, то надо во внутренней сети еще прописать шлюз и/или поставить клиента ISA (msfwc), настроенного на данный сервер ISA.

клиент у меня стоит, до этого была такая же конфигурация, но с керио, все работало, какойто затык в исе, так, визуально вроде все понятно, но майкрософт всегда чтото придумает =)
странно то, что на самой исе доступ к инету есть, указывал везде внутреннюю сеть и локальный компьютер, на лок. компе инет есть, на сетевых компах нет

Добавлено:
виртуальные интерфейсы настроены как внутренняя сеть, на исе интер - сетевой мост, интра - внутренняя сеть

Добавлено:
вот что выдает браузер...
Код ошибки: 502 Ошибка прокси-сервера.
ISA Server отклонил указанный URL-адрес. (12202)
IP-адрес: 192.168.2.14
Дата: 13.10.2009 9:08:22 [GMT]
Сервер: isa.yu.local
Источник: прокси

это на сетевом компе, на самой исе все открывается

newhk
попробуй енто (отключить RSS и в реестре и на сетевых интерфейсах, если такое умеют):
http://social.technet.microsoft.com/Forums/en-US/Forefrontedgesetup/thread/26cd12b3-ebfe-4900-b446-ba6cbf1d9dd0

у меня постоянно отключается сервер в исе, запускаю, проходит какоето время и опять падает
что за хрень?

Добавлено:
ну ее нахер, буду пытаться стандарт юзать

А у меня после перезагрузки сервера, когда пытался подключится к ISA - получил такое:


А Alert_ах нашел ошибку одну:
написано:

Цитата:

Description: ISA Server detected routes through the network adapter INET that do not correlate with the network to which this network adapter belongs. When networks are configured correctly, the IP address ranges included in each array-level network must include all IP addresses that are routable through its network adapters according to their routing tables. Otherwise valid packets may be dropped as spoofed. The following ranges are included in the network's IP address ranges but are not routable through any of the network's adapters: 192.168.0.200-192.168.0.200,192.168.0.255-192.168.0.255;. Note that this event may be generated once after you add a route, create a remote site network, or configure Network Load Balancing and may be safely ignored if it does not re-occur.

The routing table for the network adapter LOCAL includes IP address ranges that are not defined in the array-level network Internal, to which it is bound. As a result, packets arriving at this network adapter from the IP address ranges listed below or sent to these IP address ranges via this network adapter will be dropped as spoofed. To resolve this issue, add the missing IP address ranges to the array network.
The following IP address ranges will be dropped as spoofed:
External:192.168.0.200-192.168.0.200;

че то не очень понимаю - в чем дело ? ведь все работает нормально...

newhk
телепатов тут нет.
какой сервис останавливается и что в логах?

contrafack
не знаю, попробуй мануал почитать и release notes, обычно там пишут зачем нужна прога и что умеет

DalayLamer

Цитата:

то что не пингуется из internal ISA - енто странно

ничего странного, по умолчанию иса себя не дает пинговать, никому кроме сета выделенных компов, который по умолчанию может быт mgecnsv или состоять из одного компа(если ису через rdp ставили)

Цитата:

попробуй енто (отключить RSS и в реестре и на сетевых интерфейсах, если такое умеют

не думаю что это его случай, ты лог взгляни - у него явно просто правила настроены неправильно, хотя эти фичи тоже полезно отключить на всякий случай

Добавлено:
contrafack
тебе пишут что у тебя в networks настроены неправильные диапазоны адресов, либо это временное сообщение при переконфигурации(о чем в теле ошибки и написано), либо банальная ошибка всех кто не понимает что такое networks и зачем они нужны

hardhearted


Цитата:

либо это временное сообщение при переконфигурации(о чем в теле ошибки и написано)

скорее всегда этот варинат, т.к. только при перезагрузке такое появляется !
спасибо, а то думал что то серьезное.

DalayLamer
уже не важно, я ее снес, решил ставить сначала стандарт, потом, когда нормально разберусь, тогда помучаю энтерпрайз

contrafack
если при каждом рестарте, значит возможно реально ошибочная конфигурация

hardhearted

ммм. да, при каждом рестарте. Он у меня на виртуалке крутится.
а если раз не правильная конфигурация, то почему не появляются другие ошибки, особо при работе ? В системных логах тоже ничего о конфигурации сети.

contrafack
а какие тебе другие то надо? он тебе написал то что по его мнению неправильно. или ты хочешь чтобы он тебе сразу выдал стопицот ошибок мыслимых и немыслимых?
что ты у себя в сетях написал?

contrafack

Цитата:

А на самом деле GFI web monitor не стоит использовать ?

Это личное дело каждого...

hardhearted

как что у себя в сетьях написал? IPconfig имеется ввиду?