avital
нет предела совершенству - портативная сборка аьско-клиента с исполняемым файлом переименованным в explorer.exe
нет предела совершенству - портативная сборка аьско-клиента с исполняемым файлом переименованным в explorer.exe
» Microsoft ISA Server 2006/2004/2000 & TMG/UAG (Часть 4)
А в GP нужно прописывать именно разрешенные для запуска директории. Все остальное - запрет. Если у юзера не будет админ прав, то ничего он не запустит. Хотя это не сюда. У меня аська запрещена по IP уже 3 года никаких новых IP не появилось. Я вырезал полностью все домены ICQ и все их подсети. Тоже со Skype.
avital а я не пингую. Для этого надо правило разрешающее пинг делать?
AQAQ
Нужно в системной политике в части ICMP добавить сети окуда можно пинговать.
Нужно в системной политике в части ICMP добавить сети окуда можно пинговать.
Отпишусь по проблеме с падением службы Firewall
http://forum.ru-board.com/topic.cgi?forum=8&topic=27989&start=1860#6
По рекомендациям приведенным в технете
http://social.technet.microsoft.com/Forums/ru-RU/isaru/thread/fe39e503-ba26-4dcb-975a-3256f7e2fc88
http://social.technet.microsoft.com/Forums/ru-RU/isaru/thread/b533a7df-1d48-41d0-ab6f-abea4a523e41
отключил Digest аутентификацию. Пока вроде прекратились падения службы. Понаблюдаю еще.
Спасибо всем за участие!
http://forum.ru-board.com/topic.cgi?forum=8&topic=27989&start=1860#6
По рекомендациям приведенным в технете
http://social.technet.microsoft.com/Forums/ru-RU/isaru/thread/fe39e503-ba26-4dcb-975a-3256f7e2fc88
http://social.technet.microsoft.com/Forums/ru-RU/isaru/thread/b533a7df-1d48-41d0-ab6f-abea4a523e41
отключил Digest аутентификацию. Пока вроде прекратились падения службы. Понаблюдаю еще.
Спасибо всем за участие!
Возникла такая проблема
Каждое воскресенье в районе 18-19 ISA затыкается на час-полтора. При этом она снаружи не пингуется, изнутри сети тоже не видна. Но те сессии, что на ней висят (сеанс VPN) - работают.
Ругается, сперва что "Обозреватель сети не смог загрузить список серверов с основного обозревателя" Ошибки BROWSER 8021, 8032
Затем выскакивает ошибка NETLOGON 5719. это уже я так понимаю следствие, что PDC ISA не видит:
"Компьютер не может установить безопасный сеанс связи с контроллером домена DOMAIN по следующей причине: Отсутствуют серверы, которые могли бы обработать запрос на вход в сеть"
И еще нюанс - перестала открываться консоль событий на ISA с другого компа. Не знаю, насколько это связано.
С чем такая периодичность то связана?
Каждое воскресенье в районе 18-19 ISA затыкается на час-полтора. При этом она снаружи не пингуется, изнутри сети тоже не видна. Но те сессии, что на ней висят (сеанс VPN) - работают.
Ругается, сперва что "Обозреватель сети не смог загрузить список серверов с основного обозревателя" Ошибки BROWSER 8021, 8032
Затем выскакивает ошибка NETLOGON 5719. это уже я так понимаю следствие, что PDC ISA не видит:
"Компьютер не может установить безопасный сеанс связи с контроллером домена DOMAIN по следующей причине: Отсутствуют серверы, которые могли бы обработать запрос на вход в сеть"
И еще нюанс - перестала открываться консоль событий на ISA с другого компа. Не знаю, насколько это связано.
С чем такая периодичность то связана?
erve
ну с вашей стороны-то хоть какие были шаги?
логи, логи исы. как сеть построена. настройки.
ну с вашей стороны-то хоть какие были шаги?
логи, логи исы. как сеть построена. настройки.
Чем смотреть открытые порты на isa 2006 sp1?
При диагностике проблем с публикацией сервисов или при проблемах подключения извне нужна утилита, которая показывает какой порт на каком IP адресе занят (и чем). Т.к. netstat использовать на isa не рекомендуется, а fwengmon.exe показывает
" Product's version is not supported. FwEngMon's version is 5720, while the version of the product installed on your computer is 5723 FwEngMon is older than the product, thus may not work correctly."
Вопрос кто какие утилиты использует для просмотра открытых портов на ISA 2006 sp1?
При диагностике проблем с публикацией сервисов или при проблемах подключения извне нужна утилита, которая показывает какой порт на каком IP адресе занят (и чем). Т.к. netstat использовать на isa не рекомендуется, а fwengmon.exe показывает
" Product's version is not supported. FwEngMon's version is 5720, while the version of the product installed on your computer is 5723 FwEngMon is older than the product, thus may not work correctly."
Вопрос кто какие утилиты использует для просмотра открытых портов на ISA 2006 sp1?
Народ, есть у кого готовый access rule для isa 2006, чтоб можно было заходить только на mail.ru, причем желательно просматривать только почту без дополнительных mail.ru сервисов aka video foto и т.д. Сам было начал делать, открыл доступ на mail.ru *.mail.ru *mail.ru, закрыл всякие video.mail.ru и т.д., но тело писем при этом не подгружается через ajax. Крутится кружочек и рядом надпись - идет загрузка письма. И все. Что еще нужно открыть, забудался уже?
Всем привет !! С недавних пор начались проблемы с банк-клиентом, пишет на ISA 2006 такую хрень - FWX_E_TCP_NOT_SYN_PACKET_DROPPED. Ранее банк-клиент работал без каких-либо проблем. Причину этого понять сложно. ТП банка отрицает какие-либо изменения в банк-клиенте. Куда копать, уважаемые. Если нужны какие-либо логи, выложу обязательно.
NuLLBoyZ,
"банка отрицает какие-либо изменения в банк-клиенте" - улыбнуло...
Открываешь оснастку ISA-Monitorig-Logging "client ip equal IP_comp_with_BankClient" и смотришь куда ломится машина с банк-клиентом. После этого разрешаешь необходимые IP либо FQDN.
Если есть понимание, что настроено все правильно, то подними разрешающее правило наверх и рестартани службы ISA.
"банка отрицает какие-либо изменения в банк-клиенте" - улыбнуло...
Открываешь оснастку ISA-Monitorig-Logging "client ip equal IP_comp_with_BankClient" и смотришь куда ломится машина с банк-клиентом. После этого разрешаешь необходимые IP либо FQDN.
Если есть понимание, что настроено все правильно, то подними разрешающее правило наверх и рестартани службы ISA.
А вот помогите мне плз )
isa2006 sp3
54 правила
Вношу изменения в одно из правил.
Правило - разрешить доступ группе компов выходить в инет по определенному протоколу. Компов много.
Удалил один объект (разрешенный комп) - применяю изменения. Мне в ответ пишет, что изменения были сохранены, но не могут быть применены.
Перезапустите сервис фаерволла.
В логах ошибок на эту тему нет.
Перезапускаю сервис
Сервис фаерволла не может стартануть, ссылается на недавно отредактированное правило.
Отключил правило, рестарт сервиса.
Пытаюсь включить правило, пишет - не могу загрузить, в отключенном состоянии перехожу на вкладку from - говорит объект не найден. error 80070002
Погуглил, внятного ничего не нашел (
Восстановил правило из бэкапа.
Через некоторое время ситуация повторилась.
Ктонить сталкивался?
PS У меня мысль одна - слишком много объектов в поле from ... вечером попробую сделать comuter scope
isa2006 sp3
54 правила
Вношу изменения в одно из правил.
Правило - разрешить доступ группе компов выходить в инет по определенному протоколу. Компов много.
Удалил один объект (разрешенный комп) - применяю изменения. Мне в ответ пишет, что изменения были сохранены, но не могут быть применены.
Перезапустите сервис фаерволла.
В логах ошибок на эту тему нет.
Перезапускаю сервис
Сервис фаерволла не может стартануть, ссылается на недавно отредактированное правило.
Отключил правило, рестарт сервиса.
Пытаюсь включить правило, пишет - не могу загрузить, в отключенном состоянии перехожу на вкладку from - говорит объект не найден. error 80070002
Погуглил, внятного ничего не нашел (
Восстановил правило из бэкапа.
Через некоторое время ситуация повторилась.
Ктонить сталкивался?
PS У меня мысль одна - слишком много объектов в поле from ... вечером попробую сделать comuter scope
avital
проверить по логам куда еще ломится mail.ru, раньше хватало одного win.mail.ru, сейчас видимо что то поменяли.
vicwanderer
открытых или прослушиваемых? это немного разные вещи
erve
левых продуктов на исе не стоит? консолька со всех компов не открываетсфя или с определенного?
zubastiy
универнсального технического решения для закрытия чего либо нет, вернее есть но не очень удобные,например
- закрыть весь инет
- открыть тока определенные сайты
- как написали выше, разрешить запуск только определенного списка програм по хэшу, - это кстати не только к аськам относится а вообще к управлению безопасностью десктоп инфраструктуры.
- если прога лезет через прокси то можно попробовать отслеживать сигнатуры, но это не всегда реально, например скайп не получится
единственное реальное решение - административные меры, они работают всегда, если правильно применены - если есть регламент что то запрещающий, то должно быть прописано наказание за нарушение регламента, иначе это не регламент а левая ненужная бумажка.
Цитата:
против скайпа это не поможет, у них дикий полупиринговый протокол, говорят на tmg с включением https inspection его получалось заблочить, вернее я натыкался на тред где человек не мог разрешить скайп когда включал эту инспекцию
ArgonOL
незачем такую банальщину выносить в отдельный тред
там в принципе все расписали и ответили - ни иса ни тмг роутером не являются, винда в плане роутинга очень примитивна.
вообще паблишинг должен работать от другого ип, а вот через другой канал не пробовал, у меня внешними ип циски рулят, а там можно все.
проверить по логам куда еще ломится mail.ru, раньше хватало одного win.mail.ru, сейчас видимо что то поменяли.
vicwanderer
открытых или прослушиваемых? это немного разные вещи
erve
левых продуктов на исе не стоит? консолька со всех компов не открываетсфя или с определенного?
zubastiy
универнсального технического решения для закрытия чего либо нет, вернее есть но не очень удобные,например
- закрыть весь инет
- открыть тока определенные сайты
- как написали выше, разрешить запуск только определенного списка програм по хэшу, - это кстати не только к аськам относится а вообще к управлению безопасностью десктоп инфраструктуры.
- если прога лезет через прокси то можно попробовать отслеживать сигнатуры, но это не всегда реально, например скайп не получится
единственное реальное решение - административные меры, они работают всегда, если правильно применены - если есть регламент что то запрещающий, то должно быть прописано наказание за нарушение регламента, иначе это не регламент а левая ненужная бумажка.
Цитата:
сидеть и обновлять ... нет где обновляемых списков аськосерверов аля спам-листов? )))))
против скайпа это не поможет, у них дикий полупиринговый протокол, говорят на tmg с включением https inspection его получалось заблочить, вернее я натыкался на тред где человек не мог разрешить скайп когда включал эту инспекцию
ArgonOL
незачем такую банальщину выносить в отдельный тред
там в принципе все расписали и ответили - ни иса ни тмг роутером не являются, винда в плане роутинга очень примитивна.
вообще паблишинг должен работать от другого ип, а вот через другой канал не пробовал, у меня внешними ип циски рулят, а там можно все.
вот такая задачка (может раньше и всплывала, но не осилил всё читать ))) - ISA 2006 на WINDOWS 2003, приходит интернет на скорости 2048 кб/с. Задача - сделать так, что бы ISA кушала только 1024 кб/с (для всех пользователей) (остальное, без ограничений - на другой прокси, обслуживающий другую контору). Возможно ли это сделать средствами ISA? Заранее спасибо!
Кури в сторону TrafficQuota
Кто-нибудь настраивал конфигурацию в виде двух подключений к Инету с распределением трафика??
У меня один безлимитный медленный Интернет,
второй лимитированный и шустрый
Задача:
медленный оставить для всех пользователей по умолчанию
быстрый оставить только под RDP и VPN
Как ни крутил, куча ошибок или совсем сеть падает, или Инет перестает раздаваться, в общем, так ничего и не получилось.
Может кто-то уже победил подобную конфигурацию и сможет мне подсказать, как мне решить эту задачку?
У меня один безлимитный медленный Интернет,
второй лимитированный и шустрый
Задача:
медленный оставить для всех пользователей по умолчанию
быстрый оставить только под RDP и VPN
Как ни крутил, куча ошибок или совсем сеть падает, или Инет перестает раздаваться, в общем, так ничего и не получилось.
Может кто-то уже победил подобную конфигурацию и сможет мне подсказать, как мне решить эту задачку?
hardhearted,
"открытых или прослушиваемых?" - в идеале и тех и других. Можно отдельно открытых и прослушиваемых.
"открытых или прослушиваемых?" - в идеале и тех и других. Можно отдельно открытых и прослушиваемых.
vicwanderer
прослушиваемые это те которые на серваке кто то слушает (какой нить процесс). открытые это часть первых которые еще пропускает фаер. какие процессы что слушают можно увидеть в netstat или в каком нить tcpview от sysinternals
Johny_x3mal
исой никак, у нее нет никакого роутинга, потому как она не роутер, а у винды роутинг примитивный.
прослушиваемые это те которые на серваке кто то слушает (какой нить процесс). открытые это часть первых которые еще пропускает фаер. какие процессы что слушают можно увидеть в netstat или в каком нить tcpview от sysinternals
Johny_x3mal
исой никак, у нее нет никакого роутинга, потому как она не роутер, а у винды роутинг примитивный.
всем доброго дня , столкнулся с проблемкой при установке Microsoft Forefront TMG 2010 rus, при запуске проверки, либо мастера установки выскакивает сообщение ошибка на странице.
hardhearted
Цитата:
TMG на основе ISP .... но для мне это пока не подвластно...
Цитата:
исой никак, у нее нет никакого роутинга, потому как она не роутер, а у винды роутинг примитивный.
TMG на основе ISP .... но для мне это пока не подвластно...
Всем здарова!
Кто-нить может проконсультировать, как убить последнее обновление в win server 2008 r2, а конкретно: пришло обновление на Forefront TMG (Network Inspektor system 9.1.0.0), после установи которого легла служба межсетевого экрана и совсем не подымается теперь...????
Кто-нить может проконсультировать, как убить последнее обновление в win server 2008 r2, а конкретно: пришло обновление на Forefront TMG (Network Inspektor system 9.1.0.0), после установи которого легла служба межсетевого экрана и совсем не подымается теперь...????
Johny_x3mal
isp redundancy у tmg тоже примитивный, по источнику трафика или по протоколу ты точно не разделишь.
такое умеют нормальные роутеры у которых есть policy routing. циски например
isp redundancy у tmg тоже примитивный, по источнику трафика или по протоколу ты точно не разделишь.
такое умеют нормальные роутеры у которых есть policy routing. циски например
TMG 2010 - ограничивать доступа к соц.сетям, порно, прокси.
ЕСть lan защищенная ISA 2006. Планируется переход на TMG 2010.
Нужно ограничивать доступа к соц.сетям, порно и т.п. – в автоматическом режиме. Нужно ограничить доступ к прокси-серверам для обхода предыдущего пункта.
Вроде есть опция Microsoft Reputation Services for URL filtering - этот сервис под мои задачи подходит? (за этот сервис отдельно платить надо?)
Если "Нет" - то кто как решает проблему? Может вы загружаете руками списки из Интернет? Может есть решения сторонних производителей?
Если "Да" - то насколько этот сервис эффективен, как часто он обновляется, можно ли в него добавлять руками ресурсы (порноресурсы появляются часто и данный сервис может не среагировать на появление новых)
ЕСть lan защищенная ISA 2006. Планируется переход на TMG 2010.
Нужно ограничивать доступа к соц.сетям, порно и т.п. – в автоматическом режиме. Нужно ограничить доступ к прокси-серверам для обхода предыдущего пункта.
Вроде есть опция Microsoft Reputation Services for URL filtering - этот сервис под мои задачи подходит? (за этот сервис отдельно платить надо?)
Если "Нет" - то кто как решает проблему? Может вы загружаете руками списки из Интернет? Может есть решения сторонних производителей?
Если "Да" - то насколько этот сервис эффективен, как часто он обновляется, можно ли в него добавлять руками ресурсы (порноресурсы появляются часто и данный сервис может не среагировать на появление новых)
Всем привет. Есть трабла.
Какой-то непонятный глюк появился. Стоит два TMG EE в NLB Multicast IGMP. Параллельно стоит TMG SE с такими же настройками правил. Все вроде бы пашет. Правило для доступа в инет требует авторизации и по группе пускает. На кластере время от времени выскакивает такой глюк - лезешь на сайт, а Mozilla говорит что соединение с сервером было разорвано. IE просто выводит страничку, будто нет соединения. Нажимаю F5 - все проходит нормально. Если идти через SE все пашет без вопросов. в логах пишет
Отклоненное соединение PROXY02 09.12.2010 13:11:57
Тип журнала: Веб-прокси (прямой)
Состояние: 12209 Для выполнения запроса компоненту Forefront TMG требуется авторизация. Доступ к фильтру веб-прокси запрещен.
Пользователь anonymous
После этого соединение закрывается. В нормальной ситуации после этого должна происходить авторизация и в логе появляется
Разрешенное соединение PROXY02 09.12.2010 13:11:57
Тип журнала: Веб-прокси (прямой)
Состояние: 200 ОК.
Но не всегда. Кто виноват? Дело в кластере?
Какой-то непонятный глюк появился. Стоит два TMG EE в NLB Multicast IGMP. Параллельно стоит TMG SE с такими же настройками правил. Все вроде бы пашет. Правило для доступа в инет требует авторизации и по группе пускает. На кластере время от времени выскакивает такой глюк - лезешь на сайт, а Mozilla говорит что соединение с сервером было разорвано. IE просто выводит страничку, будто нет соединения. Нажимаю F5 - все проходит нормально. Если идти через SE все пашет без вопросов. в логах пишет
Отклоненное соединение PROXY02 09.12.2010 13:11:57
Тип журнала: Веб-прокси (прямой)
Состояние: 12209 Для выполнения запроса компоненту Forefront TMG требуется авторизация. Доступ к фильтру веб-прокси запрещен.
Пользователь anonymous
После этого соединение закрывается. В нормальной ситуации после этого должна происходить авторизация и в логе появляется
Разрешенное соединение PROXY02 09.12.2010 13:11:57
Тип журнала: Веб-прокси (прямой)
Состояние: 200 ОК.
Но не всегда. Кто виноват? Дело в кластере?
День добрый! Не могу установить FF TMG на сервер 2008r2 x 64. Сервер находится в домене, при установке выдаюет ошибку что не может остановить службу маршрутизация и удаленный доступ. Почему выскакивает данная ошибка?
p.s. устанавливать патался по администратором домена и под обычным доменным пользователем.
p.s. устанавливать патался по администратором домена и под обычным доменным пользователем.
vicwanderer
Цитата:
Есть проги, которые могут в динамике сетевую активность показывать? Типа кто-что качает и откуда, кто загружает канал?
Цитата:
кто как решает проблему?Я, например, запретил метод POST за исключением белого списка. Несколько геморройно постоянно добавлять нужные сайты, но помогает. К тому же этиих сайтов не так много. Стоит запросить перечень этих сайтов в писменном виде у сотрудников, так и никто ничего не приносит. Порнуха и т.п. по сигнатурам, перечнем слов.
Есть проги, которые могут в динамике сетевую активность показывать? Типа кто-что качает и откуда, кто загружает канал?
vicwanderer
с тмг не работал, но насколько я слышал их репуташион сервис работает неплохо и урл фильтеринг там вроде бы настраиваемый
а вообще лучше административных мер еще не придумали: провинился - в угол
OneHunt
есть, смотр ив шапке второй сайт, там был большой раздел софта с описаниями
с тмг не работал, но насколько я слышал их репуташион сервис работает неплохо и урл фильтеринг там вроде бы настраиваемый
а вообще лучше административных мер еще не придумали: провинился - в угол
OneHunt
есть, смотр ив шапке второй сайт, там был большой раздел софта с описаниями
Здравствуйте!
Помогите разобраться с VPN через TGM
Имею
1. TGM с двумя сетевыми интерфейсами WAN и LAN (192.168.106.0/24)
2. Контроллер домена, на кототом настроен DNS, DHCP
На TGM настраиваю доступ по VPN L2TP выдача адресов из диапазон 192.168.107.1-10
Создаю правило доступа VPN Client ->Internal все протоколы, для всех пользователей
Подлкючение происходит успешно, но не видит ресурсы внутренней сети.
Если выдавать ардеса из внутренней сетки, то более менее работает DSN.
В настройках клиента указываю DNSSuffix, но он не помогате.
Обязательное условие галочка "Использовать удаленный шлюз" на VPN-клиенте должна быть снята....
Куда рыть подскажите
Помогите разобраться с VPN через TGM
Имею
1. TGM с двумя сетевыми интерфейсами WAN и LAN (192.168.106.0/24)
2. Контроллер домена, на кототом настроен DNS, DHCP
На TGM настраиваю доступ по VPN L2TP выдача адресов из диапазон 192.168.107.1-10
Создаю правило доступа VPN Client ->Internal все протоколы, для всех пользователей
Подлкючение происходит успешно, но не видит ресурсы внутренней сети.
Если выдавать ардеса из внутренней сетки, то более менее работает DSN.
В настройках клиента указываю DNSSuffix, но он не помогате.
Обязательное условие галочка "Использовать удаленный шлюз" на VPN-клиенте должна быть снята....
Куда рыть подскажите
На vpn клиентах (сеть 107) должны быть маршруты в сеть 106, из сети 106 должны быть маршруты в сеть 107 через TMG.
Страницы: 1234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950515253545556575859606162636465666768697071727374757677787980818283848586878889909192939495
Предыдущая тема: Kerio WinRoute Firewall (часть 4)
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.