Ребят подскажите, есть иса 2006, с ней все нормально. Есть желание перейти на Forefront Threat Management Gateway TMG. Но на 64 битной машинке крутится яффиловская база. Если на эту же машинку поставить Forefront не будет ли он делать пакости (например рубить соединения и т.п.) Базу перенести нельзя, другой машинки (64 битной) нет.
» Microsoft ISA Server 2006/2004/2000 & TMG/UAG (Часть 4)
Доброго времени суток.
Такой вопрос:
есть ForeFront TMG. на нем 2 сетевухи:
сеть1 10.10.10.2/24 - внутренняя
сеть2 - внешняя
91.х.х.2
91.х.х.3
внутрення смотрит на интерфейс маршрутизатора циско 10.10.10.1, который маршрутизирует на ForeFront пакеты из сетей 10.10.20.0/24, 10.10.30.0/24.
Эти сети обозначены как локальные сети на ForeFront.
Задача в том, чтобы ForeFront выкидывал пакеты из сети 10.10.20.0/24 в один внешний айпи, а из второй сети - в другой.
Можно ли такое реализовать и какие должны быть настройки на ForeFront. Как объяснить ForeFront, что пакеты из локальных сетей 10.10.20.0/24, 10.10.30.0/24 которые приходят через циску не являются поддельными адресами?
Такой вопрос:
есть ForeFront TMG. на нем 2 сетевухи:
сеть1 10.10.10.2/24 - внутренняя
сеть2 - внешняя
91.х.х.2
91.х.х.3
внутрення смотрит на интерфейс маршрутизатора циско 10.10.10.1, который маршрутизирует на ForeFront пакеты из сетей 10.10.20.0/24, 10.10.30.0/24.
Эти сети обозначены как локальные сети на ForeFront.
Задача в том, чтобы ForeFront выкидывал пакеты из сети 10.10.20.0/24 в один внешний айпи, а из второй сети - в другой.
Можно ли такое реализовать и какие должны быть настройки на ForeFront. Как объяснить ForeFront, что пакеты из локальных сетей 10.10.20.0/24, 10.10.30.0/24 которые приходят через циску не являются поддельными адресами?
borisdenis
Цитата:
Всё зависит от настроек TMG, т.к. слишком большое количество запросов к TMG она может интерпретировать как flood.
eldo
Цитата:
TMG не маршрутизатор, маршрутизацией занимается windows.
Цитата:
А для решения этого вопроса настраивай киску по нормальному, от исы тут ничего не зависит.
P.S. И вообще почему бы Вам не поставить киску перед исой, а не за, да и воткнуть в ису ещё одну сетевуху и тогда будет всё по человечески...
Цитата:
Но на 64 битной машинке крутится яффиловская база. Если на эту же машинку поставить Forefront не будет ли он делать пакости (например рубить соединения и т.п.)
Всё зависит от настроек TMG, т.к. слишком большое количество запросов к TMG она может интерпретировать как flood.
eldo
Цитата:
Задача в том, чтобы ForeFront выкидывал пакеты из сети 10.10.20.0/24 в один внешний айпи, а из второй сети - в другой.
TMG не маршрутизатор, маршрутизацией занимается windows.
Цитата:
Как объяснить ForeFront, что пакеты из локальных сетей 10.10.20.0/24, 10.10.30.0/24 которые приходят через циску не являются поддельными адресами?
А для решения этого вопроса настраивай киску по нормальному, от исы тут ничего не зависит.
P.S. И вообще почему бы Вам не поставить киску перед исой, а не за, да и воткнуть в ису ещё одну сетевуху и тогда будет всё по человечески...
borisdenis
странные вопросы, это скорее в форум этой левой неизвестной базы
иса как и тмг закрывает то что настроишь
а вообще нормальные люди сетевой фаер с продакш базами не ставят на один сервак
eldo
Цитата:
посмотри в advanced nat, но думаю там такого нет, иса не для этого создавалась
Цитата:
это банальный и древний вопрос, со времен появления 2004ой исы это спрашивают везде каждый месяц - все сети приходящие на ису через один интерфейс должны быть в одном network, в твоем случае в internal. ну и маршруты через циску надо написать в винде
странные вопросы, это скорее в форум этой левой неизвестной базы
иса как и тмг закрывает то что настроишь
а вообще нормальные люди сетевой фаер с продакш базами не ставят на один сервак
eldo
Цитата:
Задача в том, чтобы ForeFront выкидывал пакеты из сети 10.10.20.0/24 в один внешний айпи, а из второй сети - в другой.
посмотри в advanced nat, но думаю там такого нет, иса не для этого создавалась
Цитата:
Как объяснить ForeFront, что пакеты из локальных сетей 10.10.20.0/24, 10.10.30.0/24 которые приходят через циску не являются поддельными адресами?
это банальный и древний вопрос, со времен появления 2004ой исы это спрашивают везде каждый месяц - все сети приходящие на ису через один интерфейс должны быть в одном network, в твоем случае в internal. ну и маршруты через циску надо написать в винде
FL0od13
Спасибо, интересно, посмотрю повнимательнее!
hardhearted
Кластер, оно понятие растяжимое! NLB ?
Спасибо, интересно, посмотрю повнимательнее!
hardhearted
Кластер, оно понятие растяжимое! NLB ?
hardhearted
)) эх... это ведь нормальные)) Потестить хочется а железа нету) Спасибо всем.
)) эх... это ведь нормальные)) Потестить хочется а железа нету) Спасибо всем.
anton04
TMG как раз маршрутизатор. он всю маршрутизацию вроде на себя берет.
киску за исой не получится, надо перед )
hardhearted
то есть вариант только один - поднимать локальные айпишники на локальном интерфейсе, и по-другому не работает? никаких трюков в настройке TMG нету? (
TMG как раз маршрутизатор. он всю маршрутизацию вроде на себя берет.
киску за исой не получится, надо перед )
hardhearted
то есть вариант только один - поднимать локальные айпишники на локальном интерфейсе, и по-другому не работает? никаких трюков в настройке TMG нету? (
fufell
у исы разве много видов кластеров?
eldo
Цитата:
тмг ничего не маршрутизирует, у него есть пара плагинчиков примочек, но весь роутинг через винду
Цитата:
вообще не понял о чем ты. чтобы иса не ругалась на spoofing надо все подсетки вписывать в нетворки корректно и маршруты писать правильно
у исы разве много видов кластеров?
eldo
Цитата:
TMG как раз маршрутизатор. он всю маршрутизацию вроде на себя берет.
тмг ничего не маршрутизирует, у него есть пара плагинчиков примочек, но весь роутинг через винду
Цитата:
то есть вариант только один - поднимать локальные айпишники на локальном интерфейсе
вообще не понял о чем ты. чтобы иса не ругалась на spoofing надо все подсетки вписывать в нетворки корректно и маршруты писать правильно
eldo
Цитата:
Не понял!? Я как раз об этом и говорил. нарисуйте схему где у вас что да как. А то так всех в заблуждение вводите.
Цитата:
киску за исой не получится, надо перед )
Не понял!? Я как раз об этом и говорил. нарисуйте схему где у вас что да как. А то так всех в заблуждение вводите.
anton04
Извиняюсь, неверно выразился. внутри киска, потом иса, птом инет
hardhearted
вот я как раз и пытаюсь все подсетки и маршруты верно вписать, но, по всей видимости, не выходит.
на данный момент:
сеть внутренняя:
10.10.10.х
10.10.20.х
маршрутизация:
10.10.20.0 255.255.255.0 10.10.10.1
пинг с машинки 10.10.20.35 на тмг 10.10.10.2 не идет, и тмг говорит что спуфинг. что не так у меня?
Добавлено:
сорри, забыл. на интерфейсе внутреннем присвоен адрес:
10.10.10.2 255.255.255.0
Извиняюсь, неверно выразился. внутри киска, потом иса, птом инет
hardhearted
вот я как раз и пытаюсь все подсетки и маршруты верно вписать, но, по всей видимости, не выходит.
на данный момент:
сеть внутренняя:
10.10.10.х
10.10.20.х
маршрутизация:
10.10.20.0 255.255.255.0 10.10.10.1
пинг с машинки 10.10.20.35 на тмг 10.10.10.2 не идет, и тмг говорит что спуфинг. что не так у меня?
Добавлено:
сорри, забыл. на интерфейсе внутреннем присвоен адрес:
10.10.10.2 255.255.255.0
anton04
eldo
просто не надо использовать непонятные слова "за" и "перед" - у людей абсолютно разные понятия и все время путаются.
у него циска внутри и нужна она внутри
eldo
просто не надо использовать непонятные слова "за" и "перед" - у людей абсолютно разные понятия и все время путаются.
у него циска внутри и нужна она внутри
Метод научного тыка помог.
Кому-нить может пригодится, так что:
внутренние сети ОБЯЗАТЕЛЬНО должны быть занесены в сеть исы "Внутренняя", создание своих внутренних сетей не работает. Ну а натирование делается с помощью групп компьютеров, а не сетей, так как сеть всего одна.
Кому-нить может пригодится, так что:
внутренние сети ОБЯЗАТЕЛЬНО должны быть занесены в сеть исы "Внутренняя", создание своих внутренних сетей не работает. Ну а натирование делается с помощью групп компьютеров, а не сетей, так как сеть всего одна.
hardhearted, в TMG оказалось включенным.
И, как настроить TMG для работы с широковещательными пакетами (broadcast packets) для NetBios протоколов для правила LocalHost-Internal, LocalHost-External ?
И, как настроить TMG для работы с широковещательными пакетами (broadcast packets) для NetBios протоколов для правила LocalHost-Internal, LocalHost-External ?
Vxd2000
Цитата:
Всё просто разрешаешь или все протоколы из внутренней сети в LocalHost и из LocalHost во внутреннюю сеть или же делаешь тоже самое, но для конкретных протоколов, плюс не забывай о разрешении принимать запросы на и от последнего IP адреса в твоей сети (например 192.168.0.255).
А вот разрешать NetBios для External вообще-то дело опасное.
Добавлено:
eldo
Цитата:
Вполне логично и по другому быть не могло.
Цитата:
И, как настроить TMG для работы с широковещательными пакетами
Всё просто разрешаешь или все протоколы из внутренней сети в LocalHost и из LocalHost во внутреннюю сеть или же делаешь тоже самое, но для конкретных протоколов, плюс не забывай о разрешении принимать запросы на и от последнего IP адреса в твоей сети (например 192.168.0.255).
А вот разрешать NetBios для External вообще-то дело опасное.
Добавлено:
eldo
Цитата:
внутренние сети ОБЯЗАТЕЛЬНО должны быть занесены в сеть исы "Внутренняя", создание своих внутренних сетей не работает.
Вполне логично и по другому быть не могло.
eldo
я тебе это русским по белому написал два раза ты хоть читай иногда что пишут
я тебе это русским по белому написал два раза
ты хоть читай иногда что пишут anton04, это понятно, о LocalHost->Internal и наоборот.
Но:
1. Как быть с Internal->Internal; External->External;
2.
Цитата:
Это как сделать, если определен объект Internal 192.168.0.0-192.168.0.255, и есть правило LocalHost->Internal и наоборот, по NetBios протоколам ?
3. При "работе" этих протоколов идут широковещательные запросы, с Internal сетью все понятно, последний адрес 192.168.0.255, как быть с External, какой там "последний" адрес ?
Например, в CheckPoint есть "галочка" включать или принимать (не помню сейчас) широкововещательные пакеты или отнести последний адрес диапазона к данному объекту...
И еще возникает вопрос, есть Internal, диапазон 192.168.0.0-192.168.0.255, есть LocalHost c адресом 192.168.0.1, он входит в Internal или сам по себе ?
][/b]
Цитата:
В курсе.
Но если LocalHost->External только или наоборот, без NetBiosSession, опасность уменьшается
Но:
1. Как быть с Internal->Internal; External->External;
2.
Цитата:
плюс не забывай о разрешении принимать запросы на и от последнего IP адреса в твоей сети
Это как сделать, если определен объект Internal 192.168.0.0-192.168.0.255, и есть правило LocalHost->Internal и наоборот, по NetBios протоколам ?
3. При "работе" этих протоколов идут широковещательные запросы, с Internal сетью все понятно, последний адрес 192.168.0.255, как быть с External, какой там "последний" адрес ?
Например, в CheckPoint есть "галочка" включать или принимать (не помню сейчас) широкововещательные пакеты или отнести последний адрес диапазона к данному объекту...
И еще возникает вопрос, есть Internal, диапазон 192.168.0.0-192.168.0.255, есть LocalHost c адресом 192.168.0.1, он входит в Internal или сам по себе ?
][/b]
Цитата:
А вот разрешать NetBios для External вообще-то дело опасное
В курсе.
Но если LocalHost->External только или наоборот, без NetBiosSession, опасность уменьшается
Vxd2000
Цитата:
А при чём сдесь запросы идущие из локальной сети в эту же локальную сеть!? Иса вообще тут не приделах!
Цитата:
Аналогично... (см. выше).
Цитата:
Собственно говоря да. Вот только разрешение из LocalHost->Internal делается в правилах системной политике (а не в общих правилах).
И само собой нужно открыть нужные протоколы из Internal->LocalHost.
В общем см. мониторинг TMG при посылке широковещательного запроса и всё увидишь сам.
Цитата:
А это делается по другому, называется это публикация не web сервера Хотя я вообще-то не понимаю зачем публиковать NetBios со стороны Интернета!? 
Никогда о таком даже и не слышал. 
Цитата:
LocalHost это сетевой интерфейс, т.е. тот сетевой адаптер который ты определил как внутренний адаптер не демилитаризованной зоны.
P.S. Ещё раз повторю я не понял ЗАЧЕМ нужен NetBios на внешнем интерфейсе, какова задача?
Цитата:
1. Как быть с Internal->Internal
А при чём сдесь запросы идущие из локальной сети в эту же локальную сеть!? Иса вообще тут не приделах!
Цитата:
External->External;
Аналогично... (см. выше).
Цитата:
Это как сделать, если определен объект Internal 192.168.0.0-192.168.0.255, и есть правило LocalHost->Internal и наоборот, по NetBios протоколам ?
Собственно говоря да. Вот только разрешение из LocalHost->Internal делается в правилах системной политике (а не в общих правилах).
И само собой нужно открыть нужные протоколы из Internal->LocalHost.
В общем см. мониторинг TMG при посылке широковещательного запроса и всё увидишь сам.
Цитата:
3. При "работе" этих протоколов идут широковещательные запросы, с Internal сетью все понятно, последний адрес 192.168.0.255, как быть с External, какой там "последний" адрес ?
А это делается по другому, называется это публикация не web сервера
Хотя я вообще-то не понимаю зачем публиковать NetBios со стороны Интернета!? Никогда о таком даже и не слышал. Цитата:
И еще возникает вопрос, есть Internal, диапазон 192.168.0.0-192.168.0.255, есть LocalHost c адресом 192.168.0.1, он входит в Internal или сам по себе ?
LocalHost это сетевой интерфейс, т.е. тот сетевой адаптер который ты определил как внутренний адаптер не демилитаризованной зоны.
P.S. Ещё раз повторю я не понял ЗАЧЕМ нужен NetBios на внешнем интерфейсе, какова задача?
Кто TMG подружил с Exchange edge?
Я попробовал по инструкциям с technet но все блокируется, кстати в доках даже не указано, что нужно порт ADAM открывать к локалхосту .
Exch использую 2010, без него все пашет как часы, с ним полная задница.
Все ставится на один хост по рекомендациям мелкососов.
Я попробовал по инструкциям с technet но все блокируется, кстати в доках даже не указано, что нужно порт ADAM открывать к локалхосту .
Exch использую 2010, без него все пашет как часы, с ним полная задница.
Все ставится на один хост по рекомендациям мелкососов.
Цитата:
А при чём сдесь запросы идущие из локальной сети в эту же локальную сеть!? Иса вообще тут не приделах!
Похожая ситуация, где стоял CheckPoint, пока такого правила не было, компьютеры не отображались (в сетевом окружении) . Как раз с broadcast пакетами и было связано.
Причем компьютеры даже из External отображались в сетевом окружении на компьютерах из внутренней сети.
Цитата:
Собственно говоря да. Вот только разрешение из LocalHost->Internal делается в правилах системной политике (а не в общих правилах).
Там даже это в 2 местах есть.
Цитата:
Это как сделать, если определен объект Internal 192.168.0.0-192.168.0.255, и есть правило LocalHost->Internal и наоборот, по NetBios протоколам ?
Вопрос был в контексте этого "не забывай о разрешении принимать запросы на и от последнего IP адреса в твоей сети (например 192.168.0.255). "
Цитата:
LocalHost это сетевой интерфейс, т.е. тот сетевой адаптер который ты определил как внутренний адаптер не демилитаризованной зоны
То есть LocalHost все таки объект Internal сети или сам по себе ?
Нужно, для открытия доступа к/от компьютеров в сети провайдера.
Добавлено:
Режет broadcast пакеты, (правило LocalHost->External) :
Log type: Firewall service
Status: A broadcast packet was dropped by the Forefront TMG policy.
Rule: None - see Result Code
Source: Local Host (внешний IP LocalHost:137)
Destination: External (IP из External диапазона:137)
И, ошибка 0xc0040025 FWX_E_BROADCAST_packet_dropped
Нужно, что TMG их не резал.
Правило External->LocalHost разве не равно публикации ?
Добавлено:
Когда остановлена служба TMG Firewall service компьютеры в сетевом окружении отображаются, когда работает, нет.
И, при этой остановленной службе c LocalHost есть выход в Internet, в Isa 2004, при отключенной похожей службе, вроде выход отрубался.
Добавлено:
И, как в Logs & Reports включить какое - нибудь из системных правил ?
Привет всем!
Появилось в локальной сети устройство для рассылки сообщений на bluetoothы проходящих мимо телефонов. Оно подключается к локальной сети, имеет мак-адрес и получает IP от DHCP. Далее начинает стучаться по FTP и PPTP на сервер поставщика этого устройства, чтобы после установки соединения по FTP он закачал туда контент для рассылки. Разрешаю протоколы, после этого в журнале наблюдения ИСЫ: начато соединение, IP-адрес назначения - адрес сервера поставщика, протокол - FTP, порт назначения 21. Потом сообщение с теми же параметрами, только действие - состояние соединения, но соединение не устанавливается. Подскажите как дать этому устройству прорваться в интернет. Очень уж начальство хочет заниматься прямым маркетингом, и уже желает выкинуть ИСУ.
Появилось в локальной сети устройство для рассылки сообщений на bluetoothы проходящих мимо телефонов. Оно подключается к локальной сети, имеет мак-адрес и получает IP от DHCP. Далее начинает стучаться по FTP и PPTP на сервер поставщика этого устройства, чтобы после установки соединения по FTP он закачал туда контент для рассылки. Разрешаю протоколы, после этого в журнале наблюдения ИСЫ: начато соединение, IP-адрес назначения - адрес сервера поставщика, протокол - FTP, порт назначения 21. Потом сообщение с теми же параметрами, только действие - состояние соединения, но соединение не устанавливается. Подскажите как дать этому устройству прорваться в интернет. Очень уж начальство хочет заниматься прямым маркетингом, и уже желает выкинуть ИСУ.
tata sava
Цитата:
В разрешающем протокол FTP правиле, открой свойства протокола FTP и разреши исходящий трафик. По умолчанию исходящий трафик FTP запрещен.
Цитата:
Разрешаю протоколы, после этого в журнале наблюдения ИСЫ: начато соединение, IP-адрес назначения - адрес сервера поставщика, протокол - FTP, порт назначения 21. Потом сообщение с теми же параметрами, только действие - состояние соединения, но соединение не устанавливается.
В разрешающем протокол FTP правиле, открой свойства протокола FTP и разреши исходящий трафик. По умолчанию исходящий трафик FTP запрещен.
Драсти.
Хотел попробовать TMG, но у меня комп 32-битный, а TMG оказывается только 64-битные. или я ошибаюсь ?
Хотел попробовать TMG, но у меня комп 32-битный, а TMG оказывается только 64-битные. или я ошибаюсь ?
Ребят, подскажите, что может быть? Сервер Win2003, на нем ISA 2006. Все работает нормально, никаких ошибок, но ежедневно отваливается служба маршрутизации и удаленного доступа. В результате отваливается канал VPN. Приходится каждый раз запускать самому. Может кто сталкивался с похожей проблемой?
SergeyMark
Цитата:
У меня так и есть.
И почему по умолчанию запрещен? Если разрешаем FTP протокол, то как раз в свойства FTP-протокола и написано: Диапазон портов - 21, тип протокола - TCP, направление - исходящий.
Если нужно что-то ещё дописать, то - как? Все кнопки в этом окне неактивны, ничего ни добавить, ни удалить...
Цитата:
В разрешающем протокол FTP правиле, открой свойства протокола FTP и разреши исходящий трафик. По умолчанию исходящий трафик FTP запрещен.
У меня так и есть.
И почему по умолчанию запрещен? Если разрешаем FTP протокол, то как раз в свойства FTP-протокола и написано: Диапазон портов - 21, тип протокола - TCP, направление - исходящий.
Если нужно что-то ещё дописать, то - как? Все кнопки в этом окне неактивны, ничего ни добавить, ни удалить...
exceter
только 64бит и только 2008я винда. читай системные требования там все написано
tata_sava
он имел ввиду галку upload по ftp (спутал с исходящим), не всем он нужен
только 64бит и только 2008я винда. читай системные требования там все написано
tata_sava
он имел ввиду галку upload по ftp (спутал с исходящим), не всем он нужен
tata_sava
Цитата:
Ты смотришь в свойствах протокола, там нет этой настройки. Я же писал:"В разрешающем протокол FTP правиле", только там можно поставить галку upload по ftp
Цитата:
в свойства FTP-протокола и написано: Диапазон портов - 21, тип протокола - TCP, направление - исходящий
Ты смотришь в свойствах протокола, там нет этой настройки. Я же писал:"В разрешающем протокол FTP правиле", только там можно поставить галку upload по ftp
Цитата:
Ребят, подскажите, что может быть? Сервер Win2003, на нем ISA 2006. Все работает нормально, никаких ошибок, но ежедневно отваливается служба маршрутизации и удаленного доступа. В результате отваливается канал VPN. Приходится каждый раз запускать самому. Может кто сталкивался с похожей проблемой?
На самом деле ошибка должна регистрироваться. У меня была похожая проблема, но тушилась служба Microsoft Firewall. Решилась изменением настроек логирования. Походу со временем откашивает недорезаный сиквел. ИСА не может писать логи и тушит службу. Ошибка проявлялась и на 2004. Из 16 машин с исой 10 откосили...... Если тушится именно маршрутизация, либо косит винда, либо происходит конфликт подсетей.
Monitoring- Loging - потом открываешь вспомогательную панель справа - меняешь логирование на MSDE или File. Меняешь оба правила логирования. Ребутишь комп. Поможет - скажешь спасибо
Проблема Установлен TMG 2010 Interprise работает замечательно, но косячок при открытие страничек в Opera 10 притормаживает на 10-15 сек, хотя в Internet Explorer все замечательно. Может кто сталкивался?
Vxd2000
Цитата:
LocalHost это LocalHost и не является объектом Internal сети, хоть IP адрес и может принадлежать Internal сети. Для LocalHost формируются отдельные правила, обычно они более приоритетные (стоят выше) чем остальные.
Цитата:
Нет не равно для публикации существует свой "мастер создания публикации не веб-сервера".
Цитата:
Что значит включить!? Там только логирование и репорты есть. Там правила не включаются и не выключаются.
Цитата:
То есть LocalHost все таки объект Internal сети или сам по себе ?
LocalHost это LocalHost и не является объектом Internal сети, хоть IP адрес и может принадлежать Internal сети. Для LocalHost формируются отдельные правила, обычно они более приоритетные (стоят выше) чем остальные.
Цитата:
Правило External->LocalHost разве не равно публикации ?
Нет не равно для публикации существует свой "мастер создания публикации не веб-сервера".
Цитата:
И, как в Logs & Reports включить какое - нибудь из системных правил ?
Что значит включить!? Там только логирование и репорты есть. Там правила не включаются и не выключаются.
CiborgCCCP
Спасибо за совет. Но это не помогло(( Все равно служба остановилась. хоть бери и переустанавливай ису..
Спасибо за совет. Но это не помогло(( Все равно служба остановилась. хоть бери и переустанавливай ису..
Страницы: 1234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950515253545556575859606162636465666768697071727374757677787980818283848586878889909192939495
Предыдущая тема: Kerio WinRoute Firewall (часть 4)
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.