← Вернуться в раздел «В помощь системному администратору»

» Microsoft ISA Server 2006/2004/2000 & TMG/UAG (Часть 4)

Автор: RADISH
Дата сообщения: 02.09.2011 14:50

packuh
На исе не нужен шарепоинт. На исе не нужен терминальный сервер. На исе не нужен файловый сервер.
Иса - достаточно тонкая и довольно глючная материя...

По существу:
1 вариант - на роутере ставишь бридж и на исе на WAN ставишь статику от првайдера (IP,Mask,GW, DNS), на LAN статику (192.168.0.1, 255.255.255.0)
Ставишь ISA - внешняя сеть указываешь плату WAN, локальная сеть - LAN. После установки примени настроеный шаблон в исе (конфигурация - сети - шаблон - пограничный сетевой экран).
Сделай правило весь трафик с локального во внутреннюю и обратно.
Следующее правило весь трафик с локального и внутренней во внешнюю.
по VPNу правила шаблоном создадутся.
После этого минимума твоя внутренняя сетка будет иметь доступ в интернет. Более тонко разберёшься.
2 вариант - на роутере поднимаешь pptp и на внешний интерфейс исы DHCP роутера даст айпишник, либо на нем отключить дхцп и тогда на исе ручками прописать айпишник из LAN роутера, соответственно LAN и WAN исы должны иметь разные подсети, дальше все так же как в первом пункте.
ДНС и ДХЦП на исе поднять можно.

Автор: geminisf
Дата сообщения: 02.09.2011 14:58

Цитата:

файловый сервер
шарепоинт
сервер приложений ASP.NET iss
сервер терминалов
днс и дхцп сервер

Е.ать!!! Я бы на Isa сервере косынку опасался раскладывать.

RADISH

Соглашусь

Автор: packuh
Дата сообщения: 02.09.2011 15:52

я все это уже настроил. доступ разграничил итд. юзеров направил в инет через проксик. но без галочки в свойствах хттп протокола - веб-прокси. в документации написано , что это надо делать только если есть некоторые сайты которые не поддерживают кеширование и вследствие не будут норм отображаться, но по этой фразе у нас весь интернет тогда кривой чтоль. в общем ограничения я сделал в самом правиле исы на выход в интернет но с запретом на видео и прочий контент кроме хтмл страниц. порезал скорость и остался доволен. на модеме к сожалению все 4 порта должны иметь свои логины и пароли. я например сижу на работе с домашним логином у меня 15 метров а рабочий интернет на 512 кб/сек распределяется между 50 людьми. остальных не подключаю изза- того что и это уже ппц бред полный. 512кб/сек на 50 челоек идиотизм. а компов 160+.в общем есть еще два порта один у начальника второй у сотрудника.разумеется все мы на домашних сидим. а вот остальные юзеры юзают рабочий нет. на выходны пропишу все протоколы по отдельности , а не правила типа Весь исходящий. и когда у всех будет норм настроен выход в интернет. попробую дать одной машинке выход по впн каналу.там программу требует прямого соединения для впн доступа. но думаю у меня уже хватит опыта это сделать.

осталься только один вопрос. сейчас у меня авторизация проходит только по логину и паролю занесенными в штатные списки пользователей на сервере.могу извратиться и попробовать еще по ip ограничить. сервер сейчас не рядом не знаю может ли он еще авторизацию делать по ip. Но самое главное как можно ко всему этому еще авторизацию по мак адресу прописать?

чтобы выйти в интернет мог только юзер у которого
юзер и пароль в пользователях винды совпадают с разрешенными на сервере
совпадает ip с мак адресом. и собственно разрешен по ним доступ с логином и паролем описанным выше.

Автор: anton04
Дата сообщения: 02.09.2011 16:00

Цитата:

не знаю может ли он еще авторизацию делать по ip.

Может.

Цитата:

Но самое главное как можно ко всему этому еще авторизацию по мак адресу прописать?

Никак иса не имеет такой функциональности.

Автор: packuh
Дата сообщения: 02.09.2011 16:09

а есть идеи как можно в ISA пользователя остановить если он знает логин пароль и сменил айпи на разрешенный к выходу в интернет?

Автор: RADISH
Дата сообщения: 02.09.2011 16:35

Я только одного не пойму, зачем вы создаете себе сложности там где их нет?
По поводу исходящего всем и всё - я написал вам минимум как сделать что бы работал у вас интернет, и вот этот выпад не совсем корректен:
Цитата:

а не правила типа Весь исходящий.

Дальше - если у вас домен, а при 160+ машинах наверное все таки он есть, то доменому пользователю можно запретить даже "чихать" самостоятельно, не говоря уже о том что бы запретить менять IP и еще какие либо настройки.

Цитата:

но по этой фразе у нас весь интернет тогда кривой чтоль.

Три раза стирал ответ на эту фразу...

По сабжу - прочитайте шиндлера, разберитесь как что работает в ИСЕ и возможно вам не понабиться так сильно извращаться как вы пытаетесь, если всё таки её возможностей не хватит, поставите сплиттер (ссылка выше была) и тогда точно удовлетворитесь.

Автор: packuh
Дата сообщения: 02.09.2011 17:45

сплитер воткнул. нападать на вас никто не думал. я описываю что я сделал.домена у меня нет и никогда не будет.если домен рухнет это фатально скажется на нашей сети.а если сеть без домена то ей неважно какой её кусок может отвалиться если гдето вылетит хард или сгорит маршрутизатор.остальная масса сети будет работать.все что я настроил мне уже нравится.
просто единственный минус , это как раз то , что я в принципе сам же могу насниферить пароли поставить ip и вуаля я в интернете, не думаю , что это будет трудно для продвинутого юзера. есть конечно догадки, что это надо уже сами маршутизаторы программировать против всяких уродов со снифаками, но мне столько не платят. лан спасибо. пока на этом.

Автор: bramalei
Дата сообщения: 05.09.2011 11:41

Просмотрел множество тем и подобных вопросов (http://social.technet.microsoft.com/Forums/ru-RU/isaru/thread/9fe28a2a-aaae-418b-82a8-f170304216ff) и др.

Расскажу свои исходные данные:

В компании запрещен torrent, действует http b https ограничения и пр.

Задача: открыть только одному (ip адрес или учетная запись) на доступ к протоколу bittorent.

т.е. нужно создать правило http и tcp, как понимаю но не ко всему интернету и не все порты. В общем как можно меньше.

Автор: geminisf
Дата сообщения: 05.09.2011 11:49

Цитата:

BitTórrent

Клиенты соединяются с трекером по протоколу TCP. Наиболее часто используемый входящий порт трекера: 6969.

Клиенты соединяются друг с другом, используя протокол TCP. Наиболее часто используемые входящие порты клиентов: 6881—6889.

Номера портов не фиксированы в спецификации протокола и могут изменяться при необходимости. В данный момент большинство трекеров используют обычный HTTP порт 80, а для клиентов рекомендуется выбрать случайный входящий порт. Более того, некоторые трекеры не допускают использование портов клиентов из стандартного диапазона 6881—6889, так как некоторые провайдеры запрещают использование этого диапазона портов.

Автор: RADISH
Дата сообщения: 05.09.2011 12:14

packuh
Всегда пожалуйста.

Цитата:

домена у меня нет и никогда не будет.если домен рухнет это фатально скажется на нашей сети.

Ваше право... Кто то тоже пытается удалять гланды через задний проход и тоже сталкивается с похожими проблемами. А кто мешает поднять 2-3-4-5-n количество DC если Вы уж так боитесь его падения и реплицировать их между собой хоть каждую минуту и с каждого еще снять полный образ, что бы в течении нескольких минут поднять машину из образа хотя бы суточной давности (эк меня понесло), ну да ладно, это вам мучаться, а мне все равно...

Автор: anton04
Дата сообщения: 05.09.2011 12:47

packuh

Цитата:

а есть идеи как можно в ISA пользователя остановить если он знает логин пароль и сменил айпи на разрешенный к выходу в интернет?

Есть, но это выходит за рамки исы. Самый простой это не давать пользователю административных прав.

Автор: bramalei
Дата сообщения: 05.09.2011 13:29

Собственно настраивал по инструкции. Не получилось
Сделал таким образом - tcp входящий 55001 исходящий в диапазоне 55000-60000 + http на адрес трекера. Весь http нельзя открывать.
По такой схеме работало 1 день сейчас тайм аут при поиске трекера.

Автор: packuh
Дата сообщения: 05.09.2011 13:58

поставил пользователю Клиент межсетевого экрана на компьютер с установленным ESET smart security. комп пингует локалку, видит шары. Но не работает Терминал, он не конектиться не к одному серверу. сам межсетевой экран тоже не видит сервера иса, даже если указываю сервер руками.как только межсетевой клиент удаляю все опять начинает работать , и в интернет могу выйти через прокси иса, указанный в броузере. но беда thebat не хочет работать без межсетевого клиента. а на моем компе стоит и есет и межсетевой клиент и все на ура пашет.

подскажите как решить задачку.

Добавлено:
удалил у пользователя есет. вина не в нем. все равно как только установлен межсетевой экран микрософт неважно включен он или нет блокируются все соединения броузера. неважно на иса прокси они или на прямое адсл соединение были настроены.
при включеном прямом адсл соединении
соединение есть пингуется все нормально
броузер не выходит терминал не работает

при соединении через прокси
броузер не выходит терминал не конектится.

только сношу межсетевой клиент все оптяь начинает работать.

и прокся в броузере и прямое адсл соединение

Автор: RADISH
Дата сообщения: 05.09.2011 15:17

packuh
Посмотрите в логах исы какое правило блокирует трафик

Добавлено:
bramalei
Присвойте той машине которой необходимо разрешить статический IP. На исе в сетевые объекты - компьютеры - создайте комп с этим IP. Далее создайте протокол в котором выберите ТСР и порты с и по (например с 1025 до 65534), далее создайте правило: этот протокол с этого IP во внешнюю, всем пользователям.

Автор: packuh
Дата сообщения: 05.09.2011 15:40

да в том то и дело что я устанавливаю межсетевой клиент микрософ,т а не иса сервер. устанавливаю на клиентской машине. и именно она не может выйти никуда когда установлен этот межсетевой клиент. он же никакие логи не ведет у него пара кнопок - вкл, выкл, сервер автоматом, сервер вручную, настройки броузера по умолчанию. все. просто она везде встала а на той машинке не хочет. ладно бы просто юзейр я б его отмазался, а тут начальство. а как еще запустить у него THEBAT не прибегая к межсетевому клиенту я не знаю.

при установленном межсетевом клиенте программа радмин на той машинке пишет - не удается создать сокет, когда я ею пытаюсь к кому-то зайти. без межсетевого клиента все на ура.

если я не досконально объясняю межсетевой клиент я называю программу которая лежит на диске с ISA server в разделе client.

Автор: RADISH
Дата сообщения: 05.09.2011 15:58

Если вы посмотрите в настройки этого клиента, то наверняка найдете там строчку в которую надо вписать адрес ИСА сервера и соответственно вполне логично предположить что клиент ходит в интернет через этот самый сервер ИСА и следовательно на сервере можно включить наблюдение и посмотреть какое правило блокирует трафик с этого компа.

Пожалуйста включите голову и попробуйте подумать и поанализировать и на досуге почитать все таки рекомендованную вам литературу и форумы в шапке.
Или вы хотите что бы вам приехали и сделали? Это за отдельную плату.
Вам дали здесь уже не одно конкретное решение как сделать и направления куда копать.

Автор: packuh
Дата сообщения: 05.09.2011 16:05

помоему кто-то пишет очень много лишнего, но лично перепишу строки выше отдельно

сам межсетевой экран тоже не видит сервера иса, даже если указываю сервер руками.как только межсетевой клиент удаляю все опять начинает работать
сам межсетевой экран тоже не видит сервера иса, даже если указываю сервер руками.как только межсетевой клиент удаляю все опять начинает работать
сам межсетевой экран тоже не видит сервера иса, даже если указываю сервер руками.как только межсетевой клиент удаляю все опять начинает работать

чукча не читатель чукча писатель

Добавлено:
а в интернет я выхожу не через межсетевой клиент а через прокси порт настроенный в броузере, но!!!!!(ЧИТАТЬ ВНИМАТЕЛЬНО) только когда межсетевой экран удален. это все я пишу отдельно если выше не читается

Автор: RADISH
Дата сообщения: 05.09.2011 16:14

Цитата:

помоему кто-то пишет очень много лишнего, но лично перепишу строки выше отдельно

Цитата:

чукча не читатель чукча писатель

Ну удачи вам тогда в освоении писательского мастерства
И знаете - чем больше писателей, тем дороже я стою.

Автор: packuh
Дата сообщения: 05.09.2011 16:20

админ грош тебе цена

на клиенте закрываются почти все порты, он никуда не выходит соответственно логи никакие на серваках не ведуться если это понять сложно, то читай мануал как появляются логи на сервере. а если найдешь способ записи логов клиента который не соединяется с сервером тебе может кто медаль и даст. святой дух завел логи на удаленном компе которые закрыт экраном. да вы батенька всемогучий шаман однако.
и там к стати фраза про то что все блочится на клиенте, а не на сервере. это видимо тоже прочесть не сумели, а если охота пописать идите в чат какой нибудь.писака, давай покажи что еще напишешь .

Автор: RADISH
Дата сообщения: 05.09.2011 16:35

Уважаемый, Вы можете брызгать слюной и слать все кары на мою голову сколько хотите, но у меня в отличии от Вас всё работает и если что то ломается, то я знаю как заставить это все работать. )

Автор: SergeyMark
Дата сообщения: 06.09.2011 06:22

bramalei

Цитата:

В компании запрещен torrent, действует http b https ограничения и пр.

Задача: открыть только одному (ip адрес или учетная запись) на доступ к протоколу bittorent.

т.е. нужно создать правило http и tcp, как понимаю но не ко всему интернету и не все порты. В общем как можно меньше.

Создай правило как на картинке _http://www.rapidshare.ru/2707138 . в нем открой порты с 64000 по 64100, соответсвенно tcp inbound & outbound и udp. Укажи группу пользователей, которым разрешаешь этот протокол.

Автор: kot488
Дата сообщения: 06.09.2011 10:24

Люди кто поможет победить ошибку при установке forefront на 2008

forefront setup failed to install adam

вроде говорят какой то упдейт проканает но все ссылки что находил дохлые(((

Автор: kazavo4ka
Дата сообщения: 06.09.2011 10:31

kot488
http://blogs.technet.com/b/isablog/archive/2010/07/07/troubleshooting-error-setup-failed-to-install-adam-r-n-0x80074e46-and-0x80070643-while-trying-to-install-tmg-2010.aspx

тут читал?

Автор: kot488
Дата сообщения: 06.09.2011 10:33

та читал что бы еще что то понять((в инглише ноль

Добавлено:
Случайно никто не сталкивался с такой дребеденью, ставлю ось08 на ней еще ставлю VMware в нем контроллер домена, потом начинаю ставить форефронт и где то в середине настроек установки фронта винда уходит в синий экран с ошибкой FWPKCLNT.SYS

Добавлено:

Цитата:

kot488
http://blogs.technet.com/b/isablog/archive/2010/07/07/troubleshooting-error-setup-failed-to-install-adam-r-n-0x80074e46-and-0x80070643-while-trying-to-install-tmg-2010.aspx

тут читал?

что то не помогает

Автор: packuh
Дата сообщения: 06.09.2011 14:18

проблемы с доступом thebat без установки межсетевого экрана решил так. создал правило для доступа ВСЕМ ПОЛЬЗОВАТЕЛЯМ по всем протоколам от IP компа на котором стоит Thebat. и сам зебат натравил на прокси http 3128. после этого он заработал.на всех других машинках все заработало через межсетевой экран, а на этой барабашка какая-то. ну да ладно проблема главное решена тем более там все равно надо было полный доступ делать для той машинки.

появился вопрос
подскажите пожалуйста настройки впн в иса сервере это настройки доступа к уже установленному впн серверу винды или это и есть сам сервер и мне ненадо в винде отдельно для этого службу впн поднимать.
а то чтото все по инструкциям делаю а коннекта нет. а без иса сервера когда-то создавал впн на службе винды все работало отлично. сейчас службы нету, я думал, что иса сама и есть впн сервер. вот в этом и вопрос.

Автор: bramalei
Дата сообщения: 06.09.2011 16:51

Цитата:

bramalei

Цитата:
В компании запрещен torrent, действует http b https ограничения и пр.

Задача: открыть только одному (ip адрес или учетная запись) на доступ к протоколу bittorent.

т.е. нужно создать правило http и tcp, как понимаю но не ко всему интернету и не все порты. В общем как можно меньше.

Создай правило как на картинке _http://www.rapidshare.ru/2707138 . в нем открой порты с 64000 по 64100, соответсвенно tcp inbound & outbound и udp. Укажи группу пользователей, которым разрешаешь этот протокол.

Клиент utorrent ни bitcomet авторизоваться на tmg не захотел. Решил вопрос следующим образом.

создал 2 правила в одном tcp входящие 55001, исходящие 50000-65000 без аутинтификации.

И http без авторизации на сервера трекеров.

Автор: MrTroll
Дата сообщения: 06.09.2011 22:06

packuh

Цитата:

иса сама и есть впн сервер

вот в этом и ответ

Автор: packuh
Дата сообщения: 07.09.2011 05:16

Ничего не понимаю

Добавлено:
Остальное под умолчанию. , но клиент не коннектится

Автор: SergeyMark
Дата сообщения: 07.09.2011 06:27

Цитата:

Ничего не понимаю
Добавлено:
Остальное под умолчанию. , но клиент не коннектится

И не должен. Ты не выделил адресное пространство для vpn подключений.
Например:
В настройке сети оставь диапазон 192.168.21.0 - 192.168.21.200, а для vpn выдели 192.168.21.201 -192.168.255. И еще не забудь в свойствах юзера разреши "звонить".

Автор: packuh
Дата сообщения: 07.09.2011 07:53

Все как вы сказали включил. все равно нету соединения.

тут еще другая проблема возникла.
открыл пользователю правило -весь исходящий трафик из локалки в интернет . от IP комп пользователя . до Внешняя. создаю на её компе соединение VPN к чужому серваку в интернете соединенеие не проходит. создаю это же соединение на самом сервере иса тоже не устанавливает соединение. думал в правилах косяк сделал два правила еще

URM это внешний IP сервера куда я с сервера пытаюсь коннектится по впн. в итогене с сервака не с компа пользователя это впн соединение не работает. думал не работает чужой впн сервак. на своем компе создал впн до того сервака и соединение прошло удачно. но я через адсл свой выхожу. укажите пожалуйста ошибку

Добавлено:
с сервака иса и с компа пользователя тот впн сервак нормально пингуется. а вот впн не хочет соединяться.

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95

Предыдущая тема: Kerio WinRoute Firewall (часть 4)

Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.