» Microsoft ISA Server 2006/2004/2000 & TMG/UAG (Часть 4)

r1sh


Цитата:

о с точки зрения лицензирования, на 2006 ису лицензии уже не продаются, только на TMG, вот чем проблема...а тут уже вытекает сразу и лицензия на вин2008 ент....

Ничего подобного, покупая лицензию на TMG вы имеете полное право поставить любую предыдущую версию исы


Цитата:

В любом случае, как думаете, это повлияет на уменьшение пропускной способности как прокси?

Это вряд-ли только на прожорливости железа...


Цитата:

1й как я понял денежно затратный, трудозатратный да и вообще какбе "не айс"

Ничего не айс я тут не вижу... именно так я бы и поступил. Но поставил бы 2006 ису... как то она проще да и менее прожорливей...


Цитата:

3й самый менее затратный с точки зрения как рабочих ресурсов так и денежных)

Да и ещё есть такая пословица среди админов: "рабоет НЕ трогай!"


Цитата:

по поводу второго варианта, какую бы связку Сквида вы бы посоветовали с другими программными продуктами на опенсорсе для реализации функционала схожего с ISA?

К сожалению я не люнексойд. Единственно, что могу порекомендовать конкретно, это использовать FreeBSD, а не люникс.


Цитата:

искренне благодарю за ссылки! странно что гугл их не выдал)

Действительно странно, может потому как я искал в яндексе

Парни, на isa2006 в отчете нет имён веб узлов, к которым обращаются пользователи... nslookup с машины на которой установлена isa даёт вполне конкретные значения... а в отчёте цифры... что бы это могло быть?

Добавлено:
http запросы идут прямым обращением

Цитата:

Ничего не айс я тут не вижу... именно так я бы и поступил. Но поставил бы 2006 ису... как то она проще да и менее прожорливей...

тут вопрос не в том что сделал я или вы, а в том будут ли деньги у руководства.
Цитата:

Да и ещё есть такая пословица среди админов: "рабоет НЕ трогай!"

я бы с радостью ее не трогал до времен стартрека, но мне нужно знать отступные пути, в случае, если при лицензировании компания посчитает что "выгоднее" выделить деньги на опенсорсовское решение.


Цитата:

К сожалению я не люнексойд. Единственно, что могу порекомендовать конкретно, это использовать FreeBSD, а не люникс.

это уже дело вкуса.

life_so_good
а ты в логи глянь. имена сайтов пишутся только для прокси клиентов.

... (все вопросы сняты)

Здравствуйте.
Не мог бы кто-нибудь привести пример скрипта, переключающего на резервного провайдера в случае отказа основного?

spacemutant
это вопрос скорее не по исе - у нее нет понятия провайдеров и маршрутов. а все такие скрипты просто меняют в винде шлюз по умолчанию.

spacemutant

hardhearted прав, по другому никак. Но на всякий пожарный привожу cmd:


Код:
netsh interface ip set address name="LAN" source=static addr=172.1.1.1 mask=255.255.0.0
netsh interface ip set address name="LAN" gateway=172.17.1.100 gwmetric=0
netsh interface ip set dns name="LAN" source=static addr=ххх.ххх.ххх.ххх register=PRIMARY
netsh interface ip add dns name="LAN" addr=xxx.xxx.xxx.xxx index=2

Спасибо, попробую.

Такой вопрос, риторический.
<sorry>Простите, если подобный вопрос обсуждается во всех частях этой темы, буквально через страницу, но я не представляю, что скормить поисковой строке.</sorry>
Суть такова:
ISA 2006
Локалка: 192.168.0.0/24 DHCP
ISA VPN: 10.0.0.0/24 Пул статических адресов

На клиенте настраиваем подключение (PPTP), но отключаем "Использовать шлюз в удаленной сети".
Подключаемся.
Диву даемся, почему не пингуется адрес 192.168.0.2 (рабочая станция в удаленной сети).
ИМХО, есть три варианта:
Все же использовать шлюз в удаленной сети. (На сервере с маршрутизацией все ОК)
Прописывать статические маршруты на клиенте. (Но, таки, каждый раз адрес интерфейса меняется, не удобно)
Убрать статический пул и использовать DHCP. (При поверхностном осмотре не наблюдаю изъянов в этой идее)

Но меня убеждают, что можно заставить ИСУ, при подключении клиента, прописывать на клиенте маршрут из сети 10.0.0.0 в сеть 192.168.0.0 динамически. И не могут объяснить где это видели либо настроить сами.
Отсюда вопрос: возможно ли это?
Если да, то как? Где это настраивается?

AXVill

Цитата:

Диву даемся, почему не пингуется адрес 192.168.0.2

все нормально, нет маршрута (достаточно набрать route print на клиенте)
1) как вариант, но многие не хотят чтобы весь инет трафик клиента шел через ису, хотя старик шиндер наоборот это рекомендует: типа раз клиент подцепился к сетке то у него не должно быть некотролируемых доступов к другим сетям, откуда может придти опасность
2) это не очень удобно, лучше это делать автоматом используя cmak для создания подключений
3) тоже вариант, если подсетка одна и внутренней маршрутизации нет, хотя удобнее выделить пул клиентам просто из того же диапазона что и локалка (вырезав его из internal)


Цитата:

Но меня убеждают, что можно заставить ИСУ, при подключении клиента, прописывать на клиенте маршрут

полный гон, иса никому ничего не прописывает :0 это релизуется скриптами в cmak (иса тут не причем), либо слышал вариант про реализацию впн через rras с получением адреса с другого скопа дхцп через релей, а в дхцп можно задавать статические маршруты. с исой это не прокатит потому что она клиенту из дхцп не все параметры отдает

hardhearted
Спасибо, мнение специалиста со стороны окончательно убедило меня, что не тронулся еще я умом.

День добрый

может плохо искал но такая проблемма

ISA 2006 установленный на 2003 сервер, работает РОВНО сутки с момента инсталяции, потом намертво закрывает внешний интерфейс, помогает только переустановка Isa. Потом опять сутки и опять только переустановка.

Карточки сетевые менял
других брандмауров и антивирусов нет

и стандарт и ентерприз

Привет всем! Такой вопрос:
В ISA 2006 поставил фильтры на HTTP по сигнатурам в теле, блокурующие всякий прон (например порно, gjhyj и т.д. Много наставил.). Работает неплохо, но периодически отключается доступ к страничкам на вполне приличные сайты. Где посмотреть какая сигнатура рубит?

P.S.
Сигнатуру anal я давно убрал. А то никакой аналитики нет -))

Подскажите где исправить ошибку Error Code: 500 Internal Server Error. Такой запрос не поддерживается. (50)

Error Code: 502 Proxy Error. Такой запрос не поддерживается. (50)

Выдается при доступе к некоторым сайтам, если заходить на главную страницу
ISA 2004, 2003 server.

Задача.
ISA2006.
На машинах в локальной сети FirewallClient не стоит.
Нужно разрешить доступ наружу по 443 порту только броузерам (и приложениям, которые "представляются" ими).

Для HTTP можно через HTTP policy-signatures... и фильтруем сколько влезет.
А вот для HTTPs есть варианты ?

Доброго времени.
Собсно связка Win 2k3 Server EE + ISA 2006
Всё было хорошо, пока не начал лечить вирус, в процессе лечения которого погиб svchost.exe
Оный файл восстановлен, как и работа сервера в целом, но:
Стартует сервак (2003)
Стартует ISA 2006
интернет раздаётся- функции прокси работают
Проблема в том, что когда открываешь консоль управления прокси- интерфейса управления (список правил, фукции и т.д.) не появляются- тупо чистый лист. Галочка, обычно зелёного цвета, в строке выбора проксей (левая колонка) окрашена в серый цвет...
З.Ы.: Погибли все логи, и иса начала писать их заново...
Вобщем вопрос (мож кто сталкивался)- что это было, и как с этим бороться.
Заранее благодарен.

marsikol
надо диагностировать что с сетевыми интерфейсами происходит - погонять всякие трейсы, пинги и т.д. Откл-ть\включить интр-сы, логи исы смотерть, логи винды

fufell

Цитата:

Работает неплохо, но периодически отключается доступ к страничкам на вполне приличные сайты. Где посмотреть какая сигнатура рубит?

в мониторинге - там правда будет указано правило на котором запролся запрос + если память не изменяет урл - вот его и смотреть что там попалось аналогичное что есть в сигнатурах...
Но я в своё время просто сдетат перед правилом с сигнатурами аналогичное правило на "белые сайты" (которое срабатывает ещё до фильтрации по сигнатурам) т.к. такая фильтрация по определению несёт часть гемо*оя

Student1
надо правила смотреть что у вас прописано (+ логи исы и винды)
Поставьте разреш правило на http первым с отключёнными всякими фильтрациями по сигнатурам и т.д. + мониториг смотрите + в лог

RED123456
в случае https иса не может смотреть "внутрь" трафика (только если пром-й сертификат не стоит на исе - как в случае скажем публикации), соот-но сигнатуры не прокатят... Но если честно я вашу проблему недопонял до конца - вы хотите что бы https наружу выползал через ису только от валидных браузеров типа ИЕ, а какая-н аська, работающая так же по 443 не выходила?

us0r
да имхо тут метод 1 - не допускать на исе вирусной активности. На серверах вообще никто не должен работать за сик-м админа - уж на исе точно. Не запускать там левое по и не открывать левые сайты - в большинстве случаев на исы даже антивирь не стоит, т.к. при нормальных настройках и отсутсвии дураков она сама ничего не подхватит.
Конкретно проблему решать можно по разному - скажем перестановкой всего сервака с виндой или только ИСЫ ибо разобрать что за систмный файт там похерил вирус\антивирус - очень сложно. Можно начать с проверки системный файлов винды (sfc) и далее по рез-там, но я сам бы всё тупо переставил в нормальный конфиг...

Здравствуйте.
Есть контроллер домена под управлением win 2003 server, по определенным обстоятельствам пришлось сделать из него isa server, который требует некоторая программа.
На том интерфейсе и адресе (192.168.0.16), где раньше была внутренняя сеть, теперь выход в DMZ, а новая сеть - 192.168.1.0 - включена на другой интерфейс с адр. 192.168.1.1.

На первом интерф. выставлен шлюз по умолчанию, на втором - нет.
Настроен DNS и DHCP для сети 192.168.1, однако, в этой сети не ходят никакие пакеты, адреса не выдаются почему-то
На сервере, если локально использовать, идут в интернет ping, tracert, nslookup. Однако, putty сообщает, что нет маршрута, если пытаешься подключиться по пр. ssh к front firewall; также и на сквид ничего не удается переправить....

Настроил корп. сети в isa, написал три простых правила - два с маршрутом и один с NAT, все разрешено. Сети в консоли управления настроил по шаблону для back firewall.
Прописывал еще два маршрута в сервере маршрутизации, на всякий случай, но он отключается, как я понял, не уверен.

Не работает, однако. Не могу понять, что не докрутил. Пока приходит в голову вариант вернуть внутр. сеть обратно, а из адресов, что дал провайдер, сделать вторую сеть и соорудить dmz.
Вар. два, безумный: выставить isa как файрволл во внешнюю сеть, что делать очень не хочется - на сервере много нужных данных и программ, контроллер домена...

IPv4 таблица маршрута
===========================================================================
Список интерфейсов
0x1 ........................... MS TCP Loopback interface
0x10003 ... ...... Intel(R) PRO/1000 EB Network Connection with I/O Acceleration #2
0x10004 ... ...... Intel(R) PRO/1000 EB Network Connection with I/O Acceleration
===========================================================================
===========================================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 192.168.0.1 192.168.0.16 20
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.0.0 255.255.255.0 192.168.0.16 192.168.0.16 20
192.168.0.16 255.255.255.255 127.0.0.1 127.0.0.1 20
192.168.0.255 255.255.255.255 192.168.0.16 192.168.0.16 20
192.168.1.0 255.255.255.0 192.168.1.1 192.168.1.1 20
192.168.1.1 255.255.255.255 127.0.0.1 127.0.0.1 20
192.168.1.255 255.255.255.255 192.168.1.1 192.168.1.1 20
224.0.0.0 240.0.0.0 192.168.0.16 192.168.0.16 20
224.0.0.0 240.0.0.0 192.168.1.1 192.168.1.1 20
255.255.255.255 255.255.255.255 192.168.0.16 192.168.0.16 1
255.255.255.255 255.255.255.255 192.168.1.1 192.168.1.1 1
Основной шлюз: 192.168.0.1
===========================================================================
Постоянные маршруты:
Отсутствует


P. S. За дельный совет, который поможет, готов заплатить, wmr или яндекс.деньгами

Маршруты явно лишние, замыкают на себя:
192.168.0.0 255.255.255.0 192.168.0.16 192.168.0.16 20
192.168.1.0 255.255.255.0 192.168.1.1 192.168.1.1 20

Н-да, странные маршруты. Спасибо, буду в четв. проверять. Все-таки, не могу понять, почему в сеть 192.168.1 адреса от DHCP не выдаются....

Положи зону в DHCP, проверь настройки и подними заново. Проверь настройки на клиентских машинах- настроены ли они на dhcp. в те ли свичи воткнуты, что и сервер?

Спасибо за ответ. Зона для DHCP настроена, а к интерфейсу, на котором выход в локальную сеть подключаю комп без коммутатора, напрямую, ну и адрес не могу получить. Даже если вручную поставить адрес, шлюз и т. п., пакеты не ходят ;(

Добрый день Уважаемые гуру!
Подскажите пожалуйста по TMG. Тестирую продукт.
Режим прокси. Нормальная ли это ситуация?: Пользователи могут заходить на ресурсы с любыми портами, хотя в правилах жестко разрешен протокол HTTP, HTTPS. Например если пытаюсь запросить http:/mail.ru:1111, то запрос проходит. Как жестко ограничить работу протокола HTTP по определенным портам (например 80)?
Или у меня криво установилася TMG? (Например в squid с этим все ок)
Спасибо.

interword
Цитата:

Н-да, странные маршруты. Спасибо, буду в четв. проверять. Все-таки, не могу понять, почему в сеть 192.168.1 адреса от DHCP не выдаются....

все маршруты стандартные и накакого криминала там нет, смотрите правила настройки фаервола, по умолчанию DHCP запрещен (как и остальные протоколы), а по поводу DHCP - еще нужно глянуть его привязки к интерфейсам, привязка должна быть только к 192.168.1.1

Я неправильно выразился. Как сделать так чтобы разрешен был порт 80 по протоколу HTTP? Тоесть чтобы запросы типа http://mail.ru:1111 не проходили. Тоесть жестко контролировать на какие порты пользователи могут подключаться. Сейчас в разрешающих правилах в протоколах есть только стандартные HTTP(80), HTTPS(443). По логике должны быть разрешены подключения на порты 80 и 443 (но почему то проходят запросы на другие порты). Подскажите может я что то неправильно понимаю в принципе работы TMG.

Спасибо!

lion_lion

см. логи. Там всё написано, благодаря какому правилу разрешён запрос на такой-то узел и такой-то порт.

anton04

В том то и дело что в правиле Х перечислены несколько протоколов(порты 80,443).
И по всей логике оно должно пускать только на эти порты. И в логах при попытке зайти на какой то другой порт показывает на это правило Х (что сработало разрешающее правило Х). Есть какието мысли почему это так?
Спасибо

lion_lion


Цитата:

И в логах при попытке зайти на какой то другой порт показывает на это правило Х (что сработало разрешающее правило Х)

А вы уверенны в этом? Знаете процедуру обработки правил доступа!? Почитайте, гладишь и прояснится всё.

lion_lion
не знаю как в TMG, а в ISA 2006 http-прокси пускает на все порты, и ничего с этим встроенными средствами не поделать. Можно только отключить её вообще и открыть TCP port 80, но тогда логов не будет.