Цитата:
мне это доступ только шефу нужен он хочет через rdp на свой комп попасть - он часто ездить в командировкупо моему и безопасней и даже проще дать доступ по VPN, а войдет в сеть предприятия пусть хоть по RDP цепляется хоть почту смотрит.
» Microsoft ISA Server 2006/2004/2000 & TMG/UAG (Часть 4)
Цитата:
нет щас не до впн а, есть варианты еще народ??
kazadm
Цитата:
смущает rdp_mapping, должен быть RDP (Terminal Server), который разрешает входящий TCP по 3389 порту и далее на IP внутреннего узла, тока правило должно быть не просто разрешающее, а для публикации не веб-серверов, тогда иса будет маршрутизировать RDP трафик на внутреннего клиента... а вообще посмотри как RDP дружит с NAT, может там таже песня что и с H.323, который без специальных фильтров не может проходить через NAT...
Цитата:
создал правила так: policy name action protocols from/listner to
arry - rdp - allow - rdp_mapping - extrenal - 192.168.x.x
смущает rdp_mapping, должен быть RDP (Terminal Server), который разрешает входящий TCP по 3389 порту и далее на IP внутреннего узла, тока правило должно быть не просто разрешающее, а для публикации не веб-серверов, тогда иса будет маршрутизировать RDP трафик на внутреннего клиента... а вообще посмотри как RDP дружит с NAT, может там таже песня что и с H.323, который без специальных фильтров не может проходить через NAT...
где это посмотреть что он дружит с ним или нет?
Добавлено:
это правила работает у меня на другом канторе нормально - два терминал.сервер работает так. Почему тут не работает интересно может из за XP Pro (не думаю), ну вообщем проблема остается как и есть.
Есть еще какие то варианты что бы шеф попал удаленно на свой комп из вне. У него стоит ОС ХР pro, у меня стоит Isa 2006 все через него. Как можно организовать это?
Добавлено:
это правила работает у меня на другом канторе нормально - два терминал.сервер работает так. Почему тут не работает интересно может из за XP Pro (не думаю), ну вообщем проблема остается как и есть.
Есть еще какие то варианты что бы шеф попал удаленно на свой комп из вне. У него стоит ОС ХР pro, у меня стоит Isa 2006 все через него. Как можно организовать это?
Цитата:
нет щас не до впн а
kazadm не поверишь, но на простую настройку VPN нужно от силы 10 мин и одна перезагрузка.
это понятно но мне не это а нужен решение нужен как сделать. эту доступ удаленно.
kazadm
правило создал как описывалось выше? что в логах исы в момент подключения с компа шефа из внешней сети? правило срабатывает?
Цитата:
ну скорее всего надо ковырять сам RDP протокол, например, почтитать его описание по RFC как он устроен и нет ли там таких засад как в VoIP протоколах...
Цитата:
а ты попробуй ради интереса с компа шефа подключиться к этим серверам - прокатит или нет, тогда уже более предметно можно будет ковырять...
правило создал как описывалось выше? что в логах исы в момент подключения с компа шефа из внешней сети? правило срабатывает?
Цитата:
где это посмотреть что он дружит с ним или нет?
ну скорее всего надо ковырять сам RDP протокол, например, почтитать его описание по RFC как он устроен и нет ли там таких засад как в VoIP протоколах...
Цитата:
это правила работает у меня на другом канторе нормально - два терминал.сервер работает так. Почему тут не работает интересно может из за XP Pro (не думаю), ну вообщем проблема остается как и есть.
а ты попробуй ради интереса с компа шефа подключиться к этим серверам - прокатит или нет, тогда уже более предметно можно будет ковырять...
kazadm
davinchi9
на такой банальной задачке развели такой флуд, публикация рдп на всех форумах по сто раз описана, любой поиск выдаст 100500 результатов
создаешь правило публикации не веб сервера, пишешь ипшник нужного компа, протокол rdp server, на вкладке ports в свойствах правила в поле firewall ports указываешь порт отличный от 3389 (порт по умолчанию слушает сама иса, поэтому его использовать при публикации нельзя) и все
ps никаких проблем у rdp с натами и прочим нет, обычный tcp протокол, без потоков, дополнительных сессий и т.д.
davinchi9
на такой банальной задачке развели такой флуд, публикация рдп на всех форумах по сто раз описана, любой поиск выдаст 100500 результатов
создаешь правило публикации не веб сервера, пишешь ипшник нужного компа, протокол rdp server, на вкладке ports в свойствах правила в поле firewall ports указываешь порт отличный от 3389 (порт по умолчанию слушает сама иса, поэтому его использовать при публикации нельзя) и все
ps никаких проблем у rdp с натами и прочим нет, обычный tcp протокол, без потоков, дополнительных сессий и т.д.
Народ! подскажите где в TMG 2010 указывается IP-адрес, указанный для взаимодействия между самим Forefront TMG и другими членами массива?
davinchi9
а разве это теперь не там же где и в 2006ой исе?
а разве это теперь не там же где и в 2006ой исе?
сюда или нет.
как удаленно заходить по rdp на компютер, что подключен по vpn к оргазнизации.
правило-ль надо добавить?
как удаленно заходить по rdp на компютер, что подключен по vpn к оргазнизации.
правило-ль надо добавить?
bahtey
должен быть разрешен доступ по рдп от твоего кмпьюетра (или внутренней сетки) до впн клиентов. ну и удаленный компьюетр должен разрешать подключения по рдп
должен быть разрешен доступ по рдп от твоего кмпьюетра (или внутренней сетки) до впн клиентов. ну и удаленный компьюетр должен разрешать подключения по рдп
у кого-н есть список апдейтов которые для исы 2006 вышли после СП1?
greenfox
Цитата:
да есть один большой апдейт, называется Forefront TMG 2010 Sp1 + Software Update 1
to ALL
кто какие действия предпринимает когда получает уведомления о сканировании портов из внешней сети? ну или что лучше сделать в таком случае?
Цитата:
у кого-н есть список апдейтов которые для исы 2006 вышли после СП1?
да есть один большой апдейт, называется Forefront TMG 2010 Sp1 + Software Update 1
to ALL
кто какие действия предпринимает когда получает уведомления о сканировании портов из внешней сети? ну или что лучше сделать в таком случае?
davinchi9
Цитата:
Цитата:
ну или что лучше сделать в таком случае?Отбрасывать (drop) пакеты, пришедшие от сканирующего хоста.
reff
т.е. простого отбрасывания правилом по умолчанию не достаточно?
т.е. простого отбрасывания правилом по умолчанию не достаточно?
все тема закрыта я решил проблему спс за участия.
Уронился TMG а именно отвалилась служба Microsoft Forefront TMG Managed Control с ошибкой 0x8013509 что привело к тому что перестали генерится рапорты как с помощью TMG (Не удалось получить доступ к службе управления Forefront TMG Microsoft.
Ошибка возникла в объекте "Reports" класса "Конфигурация отчетов" из области применения массива "...".) так и reporting сервера (При подготовке к просмотру на клиенте произошла ошибка. Произошла ошибка при обработке отчета.Не удалось выполнить запрос для набора данных "DataSet2".Error converting data type nvarchar to datetime.). Поск гуглом привел к разным мнениям одно из-них нет доступных конечных точек (у меня 3 интерфейса +1 виртуальный стат. ip на котором крутитя OWA, Terminal, Report, и шарики + сайты на пыхе), тоесть нет прслушивателя порта или инициатора чего я не знаю может кто подскажет как определить, 2 мнение при установке иксчанги (+ стоит forefront protection) на комп с tmg вылезает это бага, также после апдейта а именно net framework 4 отвалился и он и 2 тоесть службы тоже не запускаются. Почта работает и остальное все работает. Кто-сталкивался с подобными граблями подскажите что послужило причиной траблы.
Ошибка возникла в объекте "Reports" класса "Конфигурация отчетов" из области применения массива "...".) так и reporting сервера (При подготовке к просмотру на клиенте произошла ошибка. Произошла ошибка при обработке отчета.Не удалось выполнить запрос для набора данных "DataSet2".Error converting data type nvarchar to datetime.). Поск гуглом привел к разным мнениям одно из-них нет доступных конечных точек (у меня 3 интерфейса +1 виртуальный стат. ip на котором крутитя OWA, Terminal, Report, и шарики + сайты на пыхе), тоесть нет прслушивателя порта или инициатора чего я не знаю может кто подскажет как определить, 2 мнение при установке иксчанги (+ стоит forefront protection) на комп с tmg вылезает это бага, также после апдейта а именно net framework 4 отвалился и он и 2 тоесть службы тоже не запускаются. Почта работает и остальное все работает. Кто-сталкивался с подобными граблями подскажите что послужило причиной траблы.
Цитата:
2 мнение при установке иксчанги (+ стоит forefront protection) на комп с tmg вылезает это бага
у тебя эта трабла вылезла после установки Exchange EDGE и Forefront Protection for Exchange? или вообще никаких изменений не делалось, т.е. на ровном месте?
Загон в том что я как раз и не могу отследить откуда она так как сначала был конфиг
Exchange EDGE + Forefront Protection for Exchange + TMG + IIS +DNS+ Hyper-V все апдейты результат тотже, после чего конфиг был изменен на TMG+ DC + Exchange Server + Forefront Protection for Exchange + Hyper-V для проверки установлен MSSQL 2008 R2 также пробовалось туда перенапрвить запись в логах сервер обнаруживался но ничего в него не писалось шаблон баз MSWF был перенесен но также пусто не удалось подключится авторизация была и по sql и с помощью винды, за бугром пишут что ошибка в asp а он часть framework, по-этому подозрения падают на обновления винды. Проблема появилась после перезагрузки так как одновременно ставились все апдейты sp1 на tmg и ролап на ексчендж + куча на винду в 1 и во втором случае последовательность действий одинаковая все поставить и за раз поставить все апдейты. В обоих случаях логи все равно пишутся в базу но как я говорил не генерятся рапорты - выход исп-ть файл для записи логов + анализаторы всяких приблуд или опять перибивать все но вопрос в какой последовательности?
Exchange EDGE + Forefront Protection for Exchange + TMG + IIS +DNS+ Hyper-V все апдейты результат тотже, после чего конфиг был изменен на TMG+ DC + Exchange Server + Forefront Protection for Exchange + Hyper-V для проверки установлен MSSQL 2008 R2 также пробовалось туда перенапрвить запись в логах сервер обнаруживался но ничего в него не писалось шаблон баз MSWF был перенесен но также пусто не удалось подключится авторизация была и по sql и с помощью винды, за бугром пишут что ошибка в asp а он часть framework, по-этому подозрения падают на обновления винды. Проблема появилась после перезагрузки так как одновременно ставились все апдейты sp1 на tmg и ролап на ексчендж + куча на винду в 1 и во втором случае последовательность действий одинаковая все поставить и за раз поставить все апдейты. В обоих случаях логи все равно пишутся в базу но как я говорил не генерятся рапорты - выход исп-ть файл для записи логов + анализаторы всяких приблуд или опять перибивать все но вопрос в какой последовательности?
Привет всем участникам.
Есть ли способ ограничить юзверей от доступа к интернет-радио, ISA 2004?
Может есть списки рускоязычных ретрансляторов?
спасибо.
Есть ли способ ограничить юзверей от доступа к интернет-радио, ISA 2004?
Может есть списки рускоязычных ретрансляторов?
спасибо.
byhlym
Цитата:
а ты уверен что проблема ведения логов на MSDE\SQL связана с тем, что служба Microsoft Forefront TMG Managed Contro падает? У тебя вообще такой конфиг который ты хочешь реализоваь уже был развернут и функцианировал достаточно продолжительное время или ты только пробуешь такой конфиг развернуть?
это я вот к чему - недавно сам поднимал вот такой конфиг: уже развернутый и настроенный TMG, который в СТАБИЛЬНОЙ и безошибочной эксплуатации уже приличное время, на него был поставлен Exchange EDGE 2010, далее поставлен Forefront Protection for Exchange 2010...
да... тут, кстати, стоит сразу сказать, что если TMG без Software Update 1 for Microsoft Forefront Threat Management Gateway (TMG) 2010 Service Pack 1 _http://www.microsoft.com/downloads/en/details.aspx?FamilyID=695d0709-0d8b-45ee-afdb-727c4428ca4d у меня не могла примениться политика электронной почты, уж не помню точно какая формулировка ошибки была, но в общем и служба падала и ошибки постоянно валились, причем конфиг постоянно откатывался и откатиться не мог, пипец просто что я думал в этот момент о мелкомягких, Software Update 1 решил эту проблему...
далее с того момента как я настроил в TMG политику электронной почты и создались коннекторы, ожил FPE и все завертелось у меня опять через некоторое время упала служба Microsoft Forefront TMG Managed Control и постоянная ругань на то что политика электронной почты не может быть применена, в описании ошибки было что-то типа "значение не входит в ожидаемый диаппазон" и думай тут о каком значении тут идет речь... причем в англиской локализации текст примерно такойже, т.е. ни о чем, так что любителей англиский локализаций прошу сразу успокоиться по этому поводу...
ковыряение буржуйских форумов в этом направлении ничего толком не дало, только направление...
в общем в моем случае ситуация была следующая (это когда я уже не однократно все восстановил и пошагово воссоздавал падение связки TMG+EDGE+FPE):
включил я в TMG политику электронной почты и все-все что в нее входт, т.е. вильтры, блокировщики и т.д., но ТОЛЬКО ВКЛЮЧИЛ, в фильтрах и других места ничего не трогал и не задавал... все работает все ок! далее FPE блокирует по какому-нибудь фильтру спамера и заносит его IP в список блокируемых, смотрю через консоль FPE ченный список - есть несколько IP, смотрю через консоль TMG этотже список - пустой... еще через какое-то время начинает падать служба Microsoft Forefront TMG Managed Control, с невозможностью применить политику электронной почты и значением из неожидаемого диаппазона...
через PowerShell очищаю все блок-листы, пускаю службу и вуаля - все ок! и служба стартовала и политика почты применилась успешно...
Дальнейшие ковыряния, как ни обсурдно это выглядело, показали что малейшее расхождение в конфигурации, т.е. заданных парметрах через консоль TMG, консоль FPE и консоль Exchange EDGE приводят к падению службы Microsoft Forefront TMG Managed Control с описанными синдромами и значения заданные в консоле FPE не появляются в консоле TMG и наоборот...
вывод делай сам...
по поводу ведения логов на внешнем SQL должны быть разрешены соответсвующие правила в системной политике, посмотри логи фаервола на предмет доступности удаленного хоста с SQL для TMG по TCP/1433 и UDP/1434, далее что в системном журнале на самом хосте с SQL - там должны быть события с причиной отказа в подключении...
Цитата:
Загон в том что я как раз и не могу отследить откуда она так как сначала был конфиг........
а ты уверен что проблема ведения логов на MSDE\SQL связана с тем, что служба Microsoft Forefront TMG Managed Contro падает? У тебя вообще такой конфиг который ты хочешь реализоваь уже был развернут и функцианировал достаточно продолжительное время или ты только пробуешь такой конфиг развернуть?
это я вот к чему - недавно сам поднимал вот такой конфиг: уже развернутый и настроенный TMG, который в СТАБИЛЬНОЙ и безошибочной эксплуатации уже приличное время, на него был поставлен Exchange EDGE 2010, далее поставлен Forefront Protection for Exchange 2010...
да... тут, кстати, стоит сразу сказать, что если TMG без Software Update 1 for Microsoft Forefront Threat Management Gateway (TMG) 2010 Service Pack 1 _http://www.microsoft.com/downloads/en/details.aspx?FamilyID=695d0709-0d8b-45ee-afdb-727c4428ca4d у меня не могла примениться политика электронной почты, уж не помню точно какая формулировка ошибки была, но в общем и служба падала и ошибки постоянно валились, причем конфиг постоянно откатывался и откатиться не мог, пипец просто что я думал в этот момент о мелкомягких, Software Update 1 решил эту проблему...
далее с того момента как я настроил в TMG политику электронной почты и создались коннекторы, ожил FPE и все завертелось у меня опять через некоторое время упала служба Microsoft Forefront TMG Managed Control и постоянная ругань на то что политика электронной почты не может быть применена, в описании ошибки было что-то типа "значение не входит в ожидаемый диаппазон" и думай тут о каком значении тут идет речь... причем в англиской локализации текст примерно такойже, т.е. ни о чем, так что любителей англиский локализаций прошу сразу успокоиться по этому поводу...
ковыряение буржуйских форумов в этом направлении ничего толком не дало, только направление...
в общем в моем случае ситуация была следующая (это когда я уже не однократно все восстановил и пошагово воссоздавал падение связки TMG+EDGE+FPE):
включил я в TMG политику электронной почты и все-все что в нее входт, т.е. вильтры, блокировщики и т.д., но ТОЛЬКО ВКЛЮЧИЛ, в фильтрах и других места ничего не трогал и не задавал... все работает все ок! далее FPE блокирует по какому-нибудь фильтру спамера и заносит его IP в список блокируемых, смотрю через консоль FPE ченный список - есть несколько IP, смотрю через консоль TMG этотже список - пустой... еще через какое-то время начинает падать служба Microsoft Forefront TMG Managed Control, с невозможностью применить политику электронной почты и значением из неожидаемого диаппазона...
через PowerShell очищаю все блок-листы, пускаю службу и вуаля - все ок! и служба стартовала и политика почты применилась успешно...
Дальнейшие ковыряния, как ни обсурдно это выглядело, показали что малейшее расхождение в конфигурации, т.е. заданных парметрах через консоль TMG, консоль FPE и консоль Exchange EDGE приводят к падению службы Microsoft Forefront TMG Managed Control с описанными синдромами и значения заданные в консоле FPE не появляются в консоле TMG и наоборот...
вывод делай сам...
по поводу ведения логов на внешнем SQL должны быть разрешены соответсвующие правила в системной политике, посмотри логи фаервола на предмет доступности удаленного хоста с SQL для TMG по TCP/1433 и UDP/1434, далее что в системном журнале на самом хосте с SQL - там должны быть события с причиной отказа в подключении...
Цитата:
а ты уверен что проблема ведения логов на MSDE\SQL связана с тем, что служба Microsoft Forefront TMG Managed Contro падает?
Да, так как в конфигурации TMG+(-)DC без ексчангов все работает. Каждый конфиг тестировался в течении 2 недель и подымался с 0.
Цитата:
постоянная ругань на то что политика электронной почты не может быть применена
У меня была похажая трабла с конфигом TMG+EDGE + поднятый DAG на 2 ексченджах как обнаружилось бага была вызвана тем что (после эксперимента) что подписка созданная через edge была заменена на подписку от TMG, а IIS не позволял указывать IP узла OWA приходилось ставить все доступные так как не загружался EMC, а это привело к тому что при netstat -an (на компе с EXCHANGE сервер)показывал на то что 25 порт слушал 0.0.0.0, а TMG я не смог подружить с ним.
Цитата:
"значение не входит в ожидаемый диаппазон"
По моему это имеется ввиду что у тебя твой внешний IP не считается твоей локальной сетью, а ты когда делал подписку наверное адаптер с внешним IP был второй в окне Адаптеры и привязки. И получается идет обращение к той сетевой карте в котую не входит твой внешний IP.
Кстатее у меня конфиг DNS выглядел следующим образом (локальный домен + на edge доменный суфикс был внешнего домена на основном была создана доп.зона с этим внеш.дом.) в этой конфигурации я тоже не смог подружить политики. После чего конфиг был изменен на (домен был перименован с локального на внешний) подписка была сделана средствами EMS вроде все работало.
Цитата:
в консоле FPE не появляются в консоле TMG и наоборот
А я думал что так и должно быть, так как правила делал через FPE, но повторюсь на данный момент конфиг (TMG+DC+EXCHANGE+FPE на одной машине), что ж спасибо за толчок буду крутить. После первого же теста а именно включения политики ЭП отвалился 25 порт. Тест с пол-ками был прекращен вопрос для чайника: А за чем вообще их использовать если есть FPE, ведь базы антивиря одиноковые функционал тотже(кстатии я его отключал но Managed Control также не завелся).
Порты TCP/1433 и UDP/143 доступны, тестовое соединение успешно проходит - в режиме аутентификации windows, а по SQL с ошибкой (Сбой тестового подключения из-за ошибки инициализация поставщика), в логах SQL - 17187, Severity: 16, State: 1. - SQL Server is not ready to accept new client connections; the connection has been closed. - наверное tmg быстро логи штампует, хотя стоит максимально возможное число подключений - 0 (тоесть бессконечно), если это все таки tmg вызывает то как ее убрать мелкие пишут только про SQL 2005 и то с помощью SP ? у меня R2 , сам sql работает через SSMS заходит в ситемной политике в пункте введение удаленного журнала стоят галки, сети тоже.
Просто скоро опять буду менять конфиг, но прежде чем удалить старый хочется узнать у тебя логи генерятся через Reporting server и не отваливается ли 25 порт при ребуте системы (так как у меня нет идет по 4g то есть значок сетевого адаптера появляется после запуска сис-мы, тоесть к 25 порту я так понял не успевает примапится внеш. IP, после переуказания параметоров коннекторов все работает). Или по ходу мне так одному повезло?
Люди добрые, подскажите, как запретить в isa 2006 закачку видео контента и просмотр flash роликов, например, с youtube, mail.ru, vkontakte итд. Не могу отловить content type. В фильтре стоит запрет MIME video/* но не пойму каким макаром пролазит video/x-flv и даже когда забиваешь полностью, все равно закачка продолжается. Потом на некотрых сайтах avi файлы качаются под application/octet-stream очень даже замечально, хотя тип avi запрещен. Уже не знаю что и делать. Есть у кого реальный опыт подобного запрета?
avital
Цитата:
Практически это не реально.
Цитата:
Вот именно по этому не реально, т.к сайты не всегда корректно отдают проксе информацию о MIME типах, единственный способ запрета это ограничение по трафику или скорости.
P.S. Вот мои content type на видео и flash # , просто скопировать в блокнот и сохранить как XML.
Может и поможет...
Цитата:
Люди добрые, подскажите, как запретить в isa 2006 закачку видео контента и просмотр flash роликов, например, с youtube, mail.ru, vkontakte итд.
Практически это не реально.
Цитата:
Потом на некотрых сайтах avi файлы качаются под application/octet-stream очень даже замечально, хотя тип avi запрещен.
Вот именно по этому не реально, т.к сайты не всегда корректно отдают проксе информацию о MIME типах, единственный способ запрета это ограничение по трафику или скорости.
P.S. Вот мои content type на видео и flash # , просто скопировать в блокнот и сохранить как XML.
Может и поможет...
Спасибо, конечно, но это то что у меня и так прописано. Может сторонним софтом можно. Я вот всякими GFI не пользовался. Есть варианты?
avital
Цитата:
А как по Вашему этот сторонний софт определяет MIME тип!? Абсолютно так же...
Ищите может и есть соответствующий плагин для исы который умеет именно рубить что-то конкретное...
Цитата:
Может сторонним софтом можно.
А как по Вашему этот сторонний софт определяет MIME тип!? Абсолютно так же...
Ищите может и есть соответствующий плагин для исы который умеет именно рубить что-то конкретное...Я как раз про такие плагины спрашиваю.
С помощью правила Access Rule можно разрешить полный доступ определенному хосту во внутренней сети во внешнюю сеть. А как наоборот разрешить весь трафик с хоста в интернете на хост в локальной сети?
JekaRus
Только создание VPN, а если подразумевается определённый протокол, то правило публикации.
Только создание VPN, а если подразумевается определённый протокол, то правило публикации.
Страницы: 1234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950515253545556575859606162636465666768697071727374757677787980818283848586878889909192939495
Предыдущая тема: Kerio WinRoute Firewall (часть 4)
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.