Господа, а кирилические сигнатуры в HTTP фильтре прокатывают? Что-то в голову не лезет ничего чтобы забанить по набору русскоязычных слов.
» Microsoft ISA Server 2006/2004/2000 & TMG/UAG (Часть 4)
davinchi9
ну скорее всего может банально не поставиться, как это часто у мелкомягких бывает
а что мешает бекапнуть конфиг, снести тмг, поставить что надо, поставить тмг взад и поднять конфиг?
ну скорее всего может банально не поставиться, как это часто у мелкомягких бывает
а что мешает бекапнуть конфиг, снести тмг, поставить что надо, поставить тмг взад и поднять конфиг?
Цитата:
а что мешает бекапнуть конфиг, снести тмг, поставить что надо, поставить тмг взад и поднять конфиг?
дык вот прикидываю размер и объем предстоящего гемора...
нужно написать текст -Сайт заблокирован Системном администратором в Исе, где можно написать текст?
kazadm
Сделайте перенаправление на внутренний сайт с соответствующей страницей.
Сделайте перенаправление на внутренний сайт с соответствующей страницей.
davinchi9
да гемора чуть чуть побольше чем если делать правильно и ставить ексчендж сначала
да гемора чуть чуть побольше чем если делать правильно и ставить ексчендж сначала
Есть isa 2006, у разных пользователей разные права доступа, также всем разрешен разный контент
есть проблема, у пользователей с ограниченным контентом (то есть все что есть по умолчанию , кроме аудио/видео) не могут нормально авторизоваться на яндекс почте, мейл.ру почте .
Подскажите какой тип контента там используется при логине, смотрел монитором, ничего дельного сам не смог обнаружить
ошибка выскакивает при вводе логина/пароля в почту яндекса например , но если вернуться (со страницы ошибки нажать назад) то показывает что пользователь уже аутентифицировался и дальше дает с почтой работать нормально, такая же проблема если нажать выход
у пользователей разрешены http,https,ftp,icq,smtp и тп стандартные.
скорей всего не отрабатывает какой то javascript...
есть проблема, у пользователей с ограниченным контентом (то есть все что есть по умолчанию , кроме аудио/видео) не могут нормально авторизоваться на яндекс почте, мейл.ру почте .
Подскажите какой тип контента там используется при логине, смотрел монитором, ничего дельного сам не смог обнаружить
ошибка выскакивает при вводе логина/пароля в почту яндекса например , но если вернуться (со страницы ошибки нажать назад) то показывает что пользователь уже аутентифицировался и дальше дает с почтой работать нормально, такая же проблема если нажать выход
у пользователей разрешены http,https,ftp,icq,smtp и тп стандартные.
скорей всего не отрабатывает какой то javascript...
hardhearted
Цитата:
т.е. поверх TMG все-таки нельзя или не встанет? никто не пробывал?
Цитата:
да гемора чуть чуть побольше чем если делать правильно и ставить ексчендж сначала
т.е. поверх TMG все-таки нельзя или не встанет? никто не пробывал?
TokImota
Яндекс использует ".js". Если отрезать в "Extentions", то в почте полный "ппц" будет, картинка плохо понимаемая, не далее как два дня назад разруливал. По поводу ввода пароля, может метод POST запрещен, на этих сайтах?
По поводу русскоязычных сигнатур никто ничего так и не знает? Можно как-то фильтровать?
Яндекс использует ".js". Если отрезать в "Extentions", то в почте полный "ппц" будет, картинка плохо понимаемая, не далее как два дня назад разруливал. По поводу ввода пароля, может метод POST запрещен, на этих сайтах?
По поводу русскоязычных сигнатур никто ничего так и не знает? Можно как-то фильтровать?
OneHunt
Пароль вводится и после логина страница ошибки, если вернуться на предыдущую страницу, то уже видно что залогинен в почте.
.js как mime-type добавить?
Пароль вводится и после логина страница ошибки, если вернуться на предыдущую страницу, то уже видно что залогинен в почте.
.js как mime-type добавить?
TokImota
Цитата:
Цитата:
.js как mime-type добавитьЭто в настройках HTTP фильтра.
davinchi9
ну попробуй, делов то на 5 минут
OneHunt
собственно такой же ответ, какая религия запрещает попробовать и проверить?
ну попробуй, делов то на 5 минут
OneHunt
собственно такой же ответ, какая религия запрещает попробовать и проверить?
hardhearted
Цитата:
PS: Есть еще один вопрос. Блокируем сайт vk.com через сигнатуру "vk". FFox срабатывает, а ИЕ нет. Интересно, почему?
Цитата:
какая религия запрещаетДа, собственно, никакая, я попробовал- не получилось, вот и спросил поэтому - Может есть другие способы для этого или руки кривые, к примеру, у меня.
PS: Есть еще один вопрос. Блокируем сайт vk.com через сигнатуру "vk". FFox срабатывает, а ИЕ нет. Интересно, почему?
OneHunt
Цитата:
да способ то там один, сигнатуры есть сигнатуры, но не файт что они всегда срабатывают, там есть ограничение на размер пейлоада, если ты сигнатуры в body ищешь, и потом учитывай что кодировка может быть разная, пробуй перехватить пейлоад нужного сайта, на котором ты собираешься кириллическую сигнатуру фильтровать, перехватить любым снифером и посмотреть что там в пейлоаде написано и какая кодировка используется
Цитата:
оба браузера настроены на прокси?
Цитата:
я попробовал- не получилось, вот и спросил поэтому - Может есть другие способы для этого или руки кривые
да способ то там один, сигнатуры есть сигнатуры, но не файт что они всегда срабатывают, там есть ограничение на размер пейлоада, если ты сигнатуры в body ищешь, и потом учитывай что кодировка может быть разная, пробуй перехватить пейлоад нужного сайта, на котором ты собираешься кириллическую сигнатуру фильтровать, перехватить любым снифером и посмотреть что там в пейлоаде написано и какая кодировка используется
Цитата:
Блокируем сайт vk.com через сигнатуру "vk". FFox срабатывает, а ИЕ нет. Интересно, почему?
оба браузера настроены на прокси?
Друзья, ткните носом в какой-нить приличный учетчик трафика для ТМГ....
Желательно, чтобы можно было скачать в местном Варезнике (ну... вы понимаете...)
Желательно, чтобы можно было скачать в местном Варезнике (ну... вы понимаете...)
Нужно перенаправить весь входящий трафик от определенного внешнего IP (Желательно также и добавить в правило порт) на определенный внутриний IP через NAT в ISA2004.
На ipfw для FreeBSD Эта команда выглядит так: FWD <IP Шлюза> udp from <IP внешнего компьютера> <порт> to <IP внутренего компьютера>. Спасибо за ответы.
На ipfw для FreeBSD Эта команда выглядит так: FWD <IP Шлюза> udp from <IP внешнего компьютера> <порт> to <IP внутренего компьютера>. Спасибо за ответы.
mpak77
Цитата:
К сожалению таких нет, т.е. нету нормальных (безглючных) кряков.
Цитата:
Желательно, чтобы можно было скачать в местном Варезнике (ну... вы понимаете...)
К сожалению таких нет, т.е. нету нормальных (безглючных) кряков.
Shura2008
Проясни пожалуйста, под "определенным внешним IP" понимается некий хост в интернете или один из внешних адресов шлюза с ISA? В первом случае делаешь правило публикации и указываешь нужный IP на вкладке From вместо имеющегося там Anywhere. Во втором - делаешь правило публикации и выбираешь нужный IP на вкладке Networks для сети External вместо All IP Addresses.
Проясни пожалуйста, под "определенным внешним IP" понимается некий хост в интернете или один из внешних адресов шлюза с ISA? В первом случае делаешь правило публикации и указываешь нужный IP на вкладке From вместо имеющегося там Anywhere. Во втором - делаешь правило публикации и выбираешь нужный IP на вкладке Networks для сети External вместо All IP Addresses.
TokImota
Создай отдельные правила для HTTP и HTTPS трафика. В правиле для HTTP ставь ограничение по контенту.
Создай отдельные правила для HTTP и HTTPS трафика. В правиле для HTTP ставь ограничение по контенту.
paulsv2
Так и сделано, просто по умолчанию в ISA Server приписан не весь контент type который используется на различных сайтах, отсюда и выходит что где то все ок, а где то приходится искать к чему обращается
Так и сделано, просто по умолчанию в ISA Server приписан не весь контент type который используется на различных сайтах, отсюда и выходит что где то все ок, а где то приходится искать к чему обращается
hardhearted
Цитата:
Цитата:
оба браузера настроены на прокси?Нет, тут я профукал. Пошел другим путем. Все равно опять что-нть в буквах сайта поменяют, опять ловить придется. Пока переписал правила и запретил POST. Правда правил поприбавилось на каждую группу пользователей.
To Asker80
Цитата:
Да имеется ввиду некий хост в интернете. Буду побывать. Спасибо.
Цитата:
Shura2008
Проясни пожалуйста, под "определенным внешним IP" понимается некий хост в интернете или один из внешних адресов шлюза с ISA? В первом случае делаешь правило публикации и указываешь нужный IP на вкладке From вместо имеющегося там Anywhere. Во втором - делаешь правило публикации и выбираешь нужный IP на вкладке Networks для сети External вместо All IP Addresses.
Да имеется ввиду некий хост в интернете. Буду побывать. Спасибо.
Такая проблема. Есть 2 офиса. В одном FreeBSD, во втором ISA 2006 Std. FreeBSD настроена как клиент (она инициирует подключение), а ISA только как VPN-сервер. Все настроено - все работает. Перезагружаем FreeBSD, RRAS на ISA подключение не разрывает, FreeBSD сама подключается - с обоих сторон все подключено, но пинг не идет. Разрываю на ISA подключение (в RRAS нажимаю отключить), автоматом подключается снова и все работает. Если выключить FreeBSD, дождаться когда RRAS сама разорвет соединение и потом запустить FreeBSD, то все работает. Можно ли как нибудь уменьшить время ожидания восстановления разорванного соединения?
BULLDOG
это вопрос к винде и ррасу, иса тут вообще не причем
это вопрос к винде и ррасу, иса тут вообще не причем
hardhearted
Согласен
Согласен
салам ребята как можно сделат mapping (переброс) в иса сервере, я хочу что бы я удаленно зашел через rdp на свой комп например так (xxx.xxx.x.xx:3395).
kazadm
Правилом публикации не веб-серверов, делаешь проброс 3389 порта, если речь идет о MS RDP, а вообще для этих целей есть отдельная сервераня роль Terminal Server Gateway, с ее помощью RDP трафик безопасно передается поверх HTTPS до исы а далее корректоно пробрассывается на внутреннего клиента...
Правилом публикации не веб-серверов, делаешь проброс 3389 порта, если речь идет о MS RDP, а вообще для этих целей есть отдельная сервераня роль Terminal Server Gateway, с ее помощью RDP трафик безопасно передается поверх HTTPS до исы а далее корректоно пробрассывается на внутреннего клиента...
davinchi9
ISA не устанавливается на W2K8, а именно с него появляется данная роль Terminal Server Gateway
поэтому только правило проброса не веб-трафика
ISA не устанавливается на W2K8, а именно с него появляется данная роль Terminal Server Gateway
поэтому только правило проброса не веб-трафика
raizo
Terminal Server Gateway совсем не обязательно устанавливать на один хост вместе с исой, даже правильнее отдельно если есть такая возможность... в любом случаее безопаснее...
Terminal Server Gateway совсем не обязательно устанавливать на один хост вместе с исой, даже правильнее отдельно если есть такая возможность... в любом случаее безопаснее...
мне это доступ только шефу нужен он хочет через rdp на свой комп попасть - он часто ездить в командировку вот по этому - я даже почту сделал ему через web -client что бы он мог удаленно проверит почту. Теперь надо rdp настроит вот правила который я создал, но он не хочет работать ((
создал правила так: policy name action protocols from/listner to
arry - rdp - allow - rdp_mapping - extrenal - 192.168.x.x
создал правила так: policy name action protocols from/listner to
arry - rdp - allow - rdp_mapping - extrenal - 192.168.x.x
Страницы: 1234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950515253545556575859606162636465666768697071727374757677787980818283848586878889909192939495
Предыдущая тема: Kerio WinRoute Firewall (часть 4)
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.