ytkaaa
смотри причину почему icq запрещается.
смотри причину почему icq запрещается.
» Microsoft ISA Server 2006/2004/2000 & TMG/UAG (Часть 4)
Из за чего может быть такое, что какой-то определенный сайт не открывается? т.е. ISA блокирует, хотя НЕТ такого правилы?
например, не могу зайти на сайт: __http://www.ptsecurity.ru/
браузер долго думает и выдает страницу о запрете сайта, с текстом:
Код: Technical Information (for support personnel)
Error Code 10060: Connection timeout
Background: The gateway could not receive a timely response from the website you are trying to access. This might indicate that the network is congested, or that the website is experiencing technical difficulties.
Date: 23.11.2009 9:23:54 [GMT]
Server: server_ISA
Source: Firewall
например, не могу зайти на сайт: __http://www.ptsecurity.ru/
браузер долго думает и выдает страницу о запрете сайта, с текстом:
Код: Technical Information (for support personnel)
Error Code 10060: Connection timeout
Background: The gateway could not receive a timely response from the website you are trying to access. This might indicate that the network is congested, or that the website is experiencing technical difficulties.
Date: 23.11.2009 9:23:54 [GMT]
Server: server_ISA
Source: Firewall
contrafack
ISA к этому отношения не имеет. Это либо сами сайты "висят" или где-то по пути следования что-то висит.
ISA к этому отношения не имеет. Это либо сами сайты "висят" или где-то по пути следования что-то висит.
TrustyM
спасибо. это хорошо, а то думал ISA глючит. а у вас этот сайт работает за ИСой ?
спасибо. это хорошо, а то думал ISA глючит. а у вас этот сайт работает за ИСой ?
contrafack
Тот же эффект, что и у Вас. Вернее никакого эффекта
Не работает сам сайт.
Тот же эффект, что и у Вас. Вернее никакого эффекта
Не работает сам сайт.без исы этот сайт нормально открывается
hardhearted
Выложите, пожалуйста, результаты его tracert.
Выложите, пожалуйста, результаты его tracert.
кстати, у меня тоже вот дома открывается ! значит проблема все таки в ISA.
вот tracert с дома:
[more]C:\>tracert www.ptsecurity.ru
Tracing route to www.ptsecurity.ru [79.174.69.189]
over a maximum of 30 hops:
1 <1 ms 4 ms 4 ms 192.168.1.1
2 21 ms 20 ms 22 ms host-88-215-ххх-ххх.stv.ru [88.215.хх.хх]
3 23 ms 25 ms 22 ms 94.255.28.177
4 24 ms 22 ms 25 ms host-212-96-104-12.smtn.stavropol.ru [212.96.104.12]
5 25 ms 24 ms 22 ms host-212-96-104-10.smtn.stavropol.ru [212.96.104.10]
6 24 ms 23 ms 22 ms host-212-96-104-8.smtn.stavropol.ru [212.96.104.8]
7 25 ms 25 ms 23 ms host-212-96-104-6.smtn.stavropol.ru [212.96.104.6]
8 23 ms 22 ms 25 ms host-212-96-104-4.smtn.stavropol.ru [212.96.104.4]
9 25 ms 20 ms 22 ms 94.255.29.66
10 18 ms 23 ms 24 ms 85.173.2.44
11 21 ms 25 ms 24 ms 85.173.2.87
12 29 ms 33 ms 32 ms 188.128.3.1
13 53 ms 51 ms 51 ms ae-2.m7-ar1.msk.ip.rostelecom.ru [87.226.133.93]
14 49 ms 50 ms 48 ms ix-m9.hc.ru [193.232.244.28]
15 48 ms 51 ms 52 ms dsw-3.hc.ru [91.189.112.3]
16 46 ms 52 ms 50 ms c1456.colo.hc.ru [79.174.69.189]
Trace complete.
C:\>[/more]
вот tracert с дома:
[more]C:\>tracert www.ptsecurity.ru
Tracing route to www.ptsecurity.ru [79.174.69.189]
over a maximum of 30 hops:
1 <1 ms 4 ms 4 ms 192.168.1.1
2 21 ms 20 ms 22 ms host-88-215-ххх-ххх.stv.ru [88.215.хх.хх]
3 23 ms 25 ms 22 ms 94.255.28.177
4 24 ms 22 ms 25 ms host-212-96-104-12.smtn.stavropol.ru [212.96.104.12]
5 25 ms 24 ms 22 ms host-212-96-104-10.smtn.stavropol.ru [212.96.104.10]
6 24 ms 23 ms 22 ms host-212-96-104-8.smtn.stavropol.ru [212.96.104.8]
7 25 ms 25 ms 23 ms host-212-96-104-6.smtn.stavropol.ru [212.96.104.6]
8 23 ms 22 ms 25 ms host-212-96-104-4.smtn.stavropol.ru [212.96.104.4]
9 25 ms 20 ms 22 ms 94.255.29.66
10 18 ms 23 ms 24 ms 85.173.2.44
11 21 ms 25 ms 24 ms 85.173.2.87
12 29 ms 33 ms 32 ms 188.128.3.1
13 53 ms 51 ms 51 ms ae-2.m7-ar1.msk.ip.rostelecom.ru [87.226.133.93]
14 49 ms 50 ms 48 ms ix-m9.hc.ru [193.232.244.28]
15 48 ms 51 ms 52 ms dsw-3.hc.ru [91.189.112.3]
16 46 ms 52 ms 50 ms c1456.colo.hc.ru [79.174.69.189]
Trace complete.
C:\>[/more]
TrustyM
трасерт не имеет значения, он для всех может быть разным, вот у меня (первые три хопа это внутренности моего домового прова)
4 2 ms 2 ms 2 ms msk-m9-b1-ae0.fiord.ru [62.140.245.121]
5 3 ms 2 ms 3 ms m9ix-mg2.garnet.ru [193.232.246.50]
6 6 ms 7 ms 5 ms JNP-HC.garnet.ru [89.111.160.179]
7 5 ms 3 ms 3 ms dsw-3.hc.ru [91.189.112.3]
8 5 ms 7 ms 7 ms c1456.colo.hc.ru [79.174.69.189]
попадаются сайты с которыми иса бывает не в ладах, про ошибку 10060 я встречал сообщения и статьи на блогах, но пока особо не парюсь пока сверху жаловаться не начнут
хм, а с работы до последнего хопа не добрался
7 3 ms 3 ms 2 ms ix-m9.hc.ru [193.232.244.28]
8 3 ms 3 ms 4 ms dsw-3.hc.ru [91.189.112.3]
9 * * * Превышен интервал ожидания для запроса.
трасерт не имеет значения, он для всех может быть разным, вот у меня (первые три хопа это внутренности моего домового прова)
4 2 ms 2 ms 2 ms msk-m9-b1-ae0.fiord.ru [62.140.245.121]
5 3 ms 2 ms 3 ms m9ix-mg2.garnet.ru [193.232.246.50]
6 6 ms 7 ms 5 ms JNP-HC.garnet.ru [89.111.160.179]
7 5 ms 3 ms 3 ms dsw-3.hc.ru [91.189.112.3]
8 5 ms 7 ms 7 ms c1456.colo.hc.ru [79.174.69.189]
попадаются сайты с которыми иса бывает не в ладах, про ошибку 10060 я встречал сообщения и статьи на блогах, но пока особо не парюсь пока сверху жаловаться не начнут
хм, а с работы до последнего хопа не добрался
7 3 ms 3 ms 2 ms ix-m9.hc.ru [193.232.244.28]
8 3 ms 3 ms 4 ms dsw-3.hc.ru [91.189.112.3]
9 * * * Превышен интервал ожидания для запроса.
Подскажите пожалуйста, в чём причина.
ISA server обнаружил петлю при последовательном соединении прокси. Возможно, это обусловлено ошибкой конфигурации политики веб-цепочки сервера ISA Server
ISA server обнаружил петлю при последовательном соединении прокси. Возможно, это обусловлено ошибкой конфигурации политики веб-цепочки сервера ISA Server
Цитата:
Подскажите пожалуйста, в чём причина.
ISA server обнаружил петлю при последовательном соединении прокси. Возможно, это обусловлено ошибкой конфигурации политики веб-цепочки сервера ISA Server
Отвечаю на свой же вопрос, думаю что с этим столкнутся ещё не раз и не один я,
после настройки ИСЫ со всеми правилами в ручную, после долгих мучений с настройкой зон, политик и т.д., всё не как не мог понять, почему пинги в локалку и в мир идут а интернет через браузеры не работает, только скайп толком работал, остальное не работало, а эт почта, ася, браузеры, так вот данная проблема вызвана притрушенным антивирусом НОД32, хотя его встроенный фаервол я отключил как пологается, но не смотря на это видать какаято его служба всётаки приложила ИСУ. После простого удаления НОД32 инет поднялся и всё заработало.
XANTAN
ну кто ж на ису ставит сраный десктопный антивирь да еще с левым фаером. иса родной виндовый гасит при установке, а ты левые ей пихаешь
ну кто ж на ису ставит сраный десктопный антивирь да еще с левым фаером. иса родной виндовый гасит при установке, а ты левые ей пихаешь
Люди подскажите можно как то в Isa server заблокировать скачивание файла с определенным именем???
Помогите очень надо.
Помогите очень надо.
hardhearted Эххх, когда используется полностью пиратский софт, выбирать не приходиться. 
yakostik
См. "настроить HTTP" в конкретном правиле, но насколько мне помниться можно ограничивать только по расширению.
XANTAN
А при чём здесь пиратский и не пиратский софт!? Ты пахаешь на фаер всякую туфту, а потом удивляешься, а чё это нифига не работает!?. На фаере ничего кроме самого фаера стоять не должно в принципе.
См. "настроить HTTP" в конкретном правиле, но насколько мне помниться можно ограничивать только по расширению.
XANTAN
А при чём здесь пиратский и не пиратский софт!? Ты пахаешь на фаер всякую туфту, а потом удивляешься, а чё это нифига не работает!?. На фаере ничего кроме самого фаера стоять не должно в принципе.
Цитата:
См. "настроить HTTP" в конкретном правиле, но насколько мне помниться можно ограничивать только по расширению.
Вот и я нащел только по расширению а нужно по имени.
И еще вопрос есть правило доступа в инет в него в варианте куда добавлен списов доменныхъ имен которые хочу блокировать но иса этот список игнорирует почему может быть такая проблемма?
yakostik
Проблема может быть только в неправильном порядке правил или в неправильном занесение списка DNS имён в исе.
P.S. доменныхъ пишется доменных
проблемма пишется проблема
Проблема может быть только в неправильном порядке правил или в неправильном занесение списка DNS имён в исе.
P.S. доменныхъ пишется доменных
проблемма пишется проблема
yakostik
если ты сможешь определить хоть какой нить признак этого файла то без проблем.
например если знаешь его точный адрес то блокируй по урл, если просто имя светится в url то блокируй по сигнатуре.
про блокирование доменных имен тебе уже все отписали: сама иса ничег оне игнорирует, просто настраивать надо правильно
если ты сможешь определить хоть какой нить признак этого файла то без проблем.
например если знаешь его точный адрес то блокируй по урл, если просто имя светится в url то блокируй по сигнатуре.
про блокирование доменных имен тебе уже все отписали: сама иса ничег оне игнорирует, просто настраивать надо правильно
Цитата:
Проблема может быть только в неправильном порядке правил или в неправильном занесение списка DNS имён в исе.
P.S. доменныхъ пишется доменных
проблемма пишется проблема
Спасибо за курс русского языка
А на счет списка правил это у меня все одно правило просто в нем указано разрешить доступ во внешнюю сеть, исключения и там указан список доменных имен.
Судя по мониторингу Иса пускает в инет именно по этмоу правили но блокировка не отбрабатывается
Подскажите пожалуйста, как в 2006 исе, сделать контроль скорости интернет соединения, и доступ в инет по мак-адресу. Спасибо.
XANTAN
в исе - никак
только левым софтом и эддонами
а по мак адресам ни одна нормальная контора трафик не контролирует
скорость какого соединения ты собираешься контролить?
Добавлено:
yakostik
возможно список неправильный и соединения под него не попадают
в исе - никак
только левым софтом и эддонами
а по мак адресам ни одна нормальная контора трафик не контролирует
скорость какого соединения ты собираешься контролить?
Добавлено:
yakostik
возможно список неправильный и соединения под него не попадают
XANTAN
Возможно Bandwidth Splitter Вам поможет, а насчёт контроля по MAC-адресам, не очень удобно, но возможно есть сторонние плагины для этого
Возможно Bandwidth Splitter Вам поможет, а насчёт контроля по MAC-адресам, не очень удобно, но возможно есть сторонние плагины для этого
Спасибо большое за ответ, просто веду контроль юзеров по трафику Трафик-инспектором, отличная программа, не считая того что она приложила мой 25-й поррт и не даёт принимать почту, пока что разбираюсь как сделать так, чтобы не перекрывал он 25-й порт.
Цитата:
У меня юзеры часто качают разную фигню, и чтобы они не ложили канал приходится им обрезать скорость с анлима 100 мб/с до 256 кб/с, + доступ в локалку для инета по мак-адресу.
Цитата:
а по мак адресам ни одна нормальная контора трафик не контролирует
скорость какого соединения ты собираешься контролить?
У меня юзеры часто качают разную фигню, и чтобы они не ложили канал приходится им обрезать скорость с анлима 100 мб/с до 256 кб/с, + доступ в локалку для инета по мак-адресу.
XANTAN
шейпер и квоттеров есть несколько: bsplitter или tquota например
а доступ по макадресам никто уже давно в компаниях не делает, вернее в компаниях такое вообще никогда не делают, этот метод только для чердачно-подвальных домовых сеток, где иса не используется в принципе
шейпер и квоттеров есть несколько: bsplitter или tquota например
а доступ по макадресам никто уже давно в компаниях не делает, вернее в компаниях такое вообще никогда не делают, этот метод только для чердачно-подвальных домовых сеток, где иса не используется в принципе
Вопрос пользователям TMG:
не могли бы вы поделиться субъективными ощущениями от пользования публикаций в сравнении с ISA 2006?
не могли бы вы поделиться субъективными ощущениями от пользования публикаций в сравнении с ISA 2006?
Всем привет!
На днях я переписал правила на ISA сервер, написал много и хорошо. Единственное, что смущает это 2 вещи:
1. для dhcp создал правило:
dhcp (request) - internal -> localhost - all users
dhcp (reply) - localhost -> internal - all users
(с сайта microsoft)
isa блокировала dhcp запросы.
тогда я открыл запрос
dhcp (request) - anywhere -> localhost - all users
подсеть 172.21.0.0 - 172.21.0.255
dhcp по-прежнему не раздавал.
только когда открыл dhcp отовсюду -> везде, начал раздавать адреса.
т.к. dhcp работает через бродкасты, запрос идет с 0.0.0.0 на 255.255.255.255 - согласно правилам иса определяет адрес как external и блокирует трафик.
хотя как я полагал, иса должна определять 255.255.255.255 как себя, т.е. localhost и принимать запрос.
2. для netbios так же создал правила и из internal -> localhost и наоборот, isa принимает запрос на 172.21.0.255 и режет трафик.
Единственное, что после этого сервер не перезагружал.
Подскажите, как настроить ису так, чтобы она пропускала эти 2 вещи, не хочу открывать эти протоколы в external.
Спасибо!
На днях я переписал правила на ISA сервер, написал много и хорошо. Единственное, что смущает это 2 вещи:
1. для dhcp создал правило:
dhcp (request) - internal -> localhost - all users
dhcp (reply) - localhost -> internal - all users
(с сайта microsoft)
isa блокировала dhcp запросы.
тогда я открыл запрос
dhcp (request) - anywhere -> localhost - all users
подсеть 172.21.0.0 - 172.21.0.255
dhcp по-прежнему не раздавал.
только когда открыл dhcp отовсюду -> везде, начал раздавать адреса.
т.к. dhcp работает через бродкасты, запрос идет с 0.0.0.0 на 255.255.255.255 - согласно правилам иса определяет адрес как external и блокирует трафик.
хотя как я полагал, иса должна определять 255.255.255.255 как себя, т.е. localhost и принимать запрос.
2. для netbios так же создал правила и из internal -> localhost и наоборот, isa принимает запрос на 172.21.0.255 и режет трафик.
Единственное, что после этого сервер не перезагружал.
Подскажите, как настроить ису так, чтобы она пропускала эти 2 вещи, не хочу открывать эти протоколы в external.
Спасибо!
tomas12
Ну что ж отвечу и здесь:
Настройка dhcp для локалхоста делается в системных политиках, а не в общих
netbios вообще нафиг на исе не нужен, т.к. есть вред и дыра.
Цитата:
В internal должен быть прописан весь диапазон IP адресов, т.е. от 172.21.0.0 до 171.17.255.255
Добавлено:
kirill_by
TMG ещё beta (даже не RC), какие ты хочешь ощущения!?
Ну что ж отвечу и здесь:
Настройка dhcp для локалхоста делается в системных политиках, а не в общих
netbios вообще нафиг на исе не нужен, т.к. есть вред и дыра.
Цитата:
может быть в internal добавить сетевой адаптер?
В internal должен быть прописан весь диапазон IP адресов, т.е. от 172.21.0.0 до 171.17.255.255
Добавлено:
kirill_by
TMG ещё beta (даже не RC), какие ты хочешь ощущения!?
anton04
проясни до конца пожалуйста:
1. в system policy для dhcp нужно указать сеть internal? а в internal до 172.21.0.255 или до 172.21.255.255? - правильно?
2. Как для dhcp указать адрес 255.255.255.255 - бьюсь не могу понять..
2. netBios отключать в системных политиках или просто не создавать правил на его доступ?
Добавлено:
для dhcp в системных политиках у меня стоит internal и localhost.
Правила firewall
dhcp (request) - anywhere -> localhost - all users
dhcp (reply) - localhost -> internal - all users
все равно трафик блокируется
Destination: Local Host ( 255.255.255.255:67) - Denied Connection
Добавлено:
правила system policy
dhcp (request) - localhost -> anywhere - all users
dhcp (reply) - internal -> localhost - all users
где мне нужно поменять?
проясни до конца пожалуйста:
1. в system policy для dhcp нужно указать сеть internal? а в internal до 172.21.0.255 или до 172.21.255.255? - правильно?
2. Как для dhcp указать адрес 255.255.255.255 - бьюсь не могу понять..
2. netBios отключать в системных политиках или просто не создавать правил на его доступ?
Добавлено:
для dhcp в системных политиках у меня стоит internal и localhost.
Правила firewall
dhcp (request) - anywhere -> localhost - all users
dhcp (reply) - localhost -> internal - all users
все равно трафик блокируется
Destination: Local Host ( 255.255.255.255:67) - Denied Connection
Добавлено:
правила system policy
dhcp (request) - localhost -> anywhere - all users
dhcp (reply) - internal -> localhost - all users
где мне нужно поменять?
anton04
Цитата:
Это почему же? TMG уже даже RTM!
Цитата:
TMG ещё beta (даже не RC),
Это почему же? TMG уже даже RTM!
1. да
2. не надо для него ничего указывать, у тебя адрес сетевого адаптера который смотрит в твою ЛВС должен быть статическим.
3. правильней отключить в системных политиках, но учти после этого иса не будет видна в сетевом окружении винды.
P.S. Версию исы неплохо бы знать Скриншоты системных политик в студию.
TrustyM
Во блин... пропустил выход... сори.
2. не надо для него ничего указывать, у тебя адрес сетевого адаптера который смотрит в твою ЛВС должен быть статическим.
3. правильней отключить в системных политиках, но учти после этого иса не будет видна в сетевом окружении винды.
P.S. Версию исы неплохо бы знать
Скриншоты системных политик в студию. TrustyM
Во блин... пропустил выход... сори.
Страницы: 1234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950515253545556575859606162636465666768697071727374757677787980818283848586878889909192939495
Предыдущая тема: Kerio WinRoute Firewall (часть 4)
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.