Цитата:
неотображает каталогиКак это выглядит? Правило на исе это публикация ФТП сервера?
» Microsoft ISA Server 2006/2004/2000 & TMG/UAG (Часть 4)
Цитата:
да, есть публикация
вот что пишет фтп клиент когда конект идет через внешний апи
Соединение установлено
Статус: Получение списка каталогов...
Команда: PWD
Ответ: 257 "/" is current directory.
Команда: TYPE I
Ответ: 200 Type set to I.
Команда: PASV
Ответ: 500 The server returned invalid response for PASV command.
Команда: PORT 192,168,10,180,219,69
Ответ: 200 Port command successful.
Команда: MLSD
Ответ: 550 Access is denied.
Ошибка: Не могу получить список каталогов!
вот что пишет фтп клиент когда конект идет через внешний апи
Соединение установлено
Статус: Получение списка каталогов...
Команда: PWD
Ответ: 257 "/" is current directory.
Команда: TYPE I
Ответ: 200 Type set to I.
Команда: PASV
Ответ: 500 The server returned invalid response for PASV command.
Команда: PORT 192,168,10,180,219,69
Ответ: 200 Port command successful.
Команда: MLSD
Ответ: 550 Access is denied.
Ошибка: Не могу получить список каталогов!
Цитата:
Ответ: 550 Access is denied.Вот это не на что не намекает?
Цитата:
Вот это не на что не намекает?
Нет а что обьясни я чот недогоняю
evgipk
Прав недостаточно.
Прав недостаточно.
прав недостаточно? у кого именноо у сервера фтп или прохождения через ису?
Цитата:
прав недостаточно? у кого именноо у сервера фтп или прохождения через ису?
Переведи FTP клиента в Passive режим...
Добавлено:
Вопрос который в теме не поднимался...
Мне нужно сделать чтобы TMG понимал IGMP, и работал в режиме IGMP Proxy
для просмотра IPTV через TMG
Нагуглил, настроил, но TMG трафик режет, нифига не получилось
Кто смог настроить, поделитесь опытом!
спасибки за подсказаньки все решил а дела у мну обстояло в следующем , только обьясните что было потому что я чот недогоняю
а именно ФТП с сетки конектица нормально, правило на исе стоит, далее делаем финт ушами и пытаемся залесть програмулиной через внешний ip адрес и нашей сетки (пример моя машина 192,168,ххх,ххх ip адрес сервера 192,168,ххх,хх внешний ip yyyy.yyyy.yyyy.yyyy
на воротах стоит иса .) тоесть я со своей машинки с которой доступ на исе прописан куда угодно пытаюсь долинкаться до нашего внешнего ip чтобы иса перевела меня на фтп , через браузер все происходит просто идеально но програмулиной пишет то что я уже выкладывал. в итоге я весь в расстроинных чувствах звоню коришу и прошу посоветавать как можно решить эту ненависную проблему он пытаеться зайти на наш фтп и нормально заходит через програмулину я в шоке иду в серверную линкуюсь к резервной линии инета и о чудо с другой сети действительно можно зайти на мой фтп он нормально опубликован и все отл работает . и тут у мну возникает вопрос почему я со своей сети звоня на внешку получаю ошибку а с другой сети дозвон получаеться отличный ????
а именно ФТП с сетки конектица нормально, правило на исе стоит, далее делаем финт ушами и пытаемся залесть програмулиной через внешний ip адрес и нашей сетки (пример моя машина 192,168,ххх,ххх ip адрес сервера 192,168,ххх,хх внешний ip yyyy.yyyy.yyyy.yyyy
на воротах стоит иса .) тоесть я со своей машинки с которой доступ на исе прописан куда угодно пытаюсь долинкаться до нашего внешнего ip чтобы иса перевела меня на фтп , через браузер все происходит просто идеально но програмулиной пишет то что я уже выкладывал. в итоге я весь в расстроинных чувствах звоню коришу и прошу посоветавать как можно решить эту ненависную проблему он пытаеться зайти на наш фтп и нормально заходит через програмулину я в шоке иду в серверную линкуюсь к резервной линии инета и о чудо с другой сети действительно можно зайти на мой фтп он нормально опубликован и все отл работает . и тут у мну возникает вопрос почему я со своей сети звоня на внешку получаю ошибку а с другой сети дозвон получаеться отличный ????
evgipk
Это-ж понятно- невозможно войти в комнату через дверь, если Вы уже и так внутри комнаты.
Представьте себе например, какой бы был резульат tracert.
Это-ж понятно- невозможно войти в комнату через дверь, если Вы уже и так внутри комнаты.
Представьте себе например, какой бы был резульат tracert.
Добрый день!
Какие настройки необходимо сделать при прямом соединении 2-х ISA 2006(находятся в одном помещении, но в разных доменах и подсетях)? Поставил дополнительные сетевые карты, назначил им ip из другой подсети. Какие шаги нужно сделать дальше?
Какие настройки необходимо сделать при прямом соединении 2-х ISA 2006(находятся в одном помещении, но в разных доменах и подсетях)? Поставил дополнительные сетевые карты, назначил им ip из другой подсети. Какие шаги нужно сделать дальше?
Цитата:
Какие настройки необходимо сделать при прямом соединении 2-х ISA 2006
Для каких целей может ты объяснишь??? Если тебе 2 леса объеденять надо то это одно если для чегото еще , то это совершенно другое
Добавлено:
http://bozza.ru/art-28.html
http://www.osp.ru/win2000/2009/11/13000860/
http://www.osp.ru/win2000/2010/02/13001755/
Хочу соединить корневой домен (company.lo с подсетью 192.168.xx.xx) с дочерним (filial.company.lo с подсетью 10.0.xx.xx). Сейчас соединение идет через vpn.
Я так понимаю, что в нужно в ISA добавить новую сеть, включив в нее 2 диапазона. Затем создать правило в Network rules и прописать статические маршруты в RRAS.
Я так понимаю, что в нужно в ISA добавить новую сеть, включив в нее 2 диапазона. Затем создать правило в Network rules и прописать статические маршруты в RRAS.
Люди нужна помощь
Обьединил сети через PPPTP TMG 2010 и ISA 2006. Соединение есть всенормально.
С сети где стоит TMG людимогут подключаться к сети ISA.
Там где стоит Isa люди не могут попасть в сеть где TMG правила вроде все нормально (одинаковые).
Если делать tracert с сети где стоит ISA
Трассировка завершена.
C:\Documents and Settings\bux1>tracert 192.168.10.29
Трассировка маршрута к 192.168.10.29 с максимальным числом прыжков 30
1 <1 мс <1 мс <1 мс 192.168.11.1
2 * * * Превышен интервал ожидания для запроса.
3 * * * Превышен интервал ожидания для запроса.
4 * * * Превышен интервал ожидания для запроса.
5 * * * Превышен интервал ожидания для запроса.
6 * * * Превышен интервал ожидания для запроса.
7 * * * Превышен интервал ожидания для запроса.
И так до конца.
Трассировка завершена.
А с другой стороны все ок проходит
1 <1 мс * <1 мс srv01.milka.ru [192.168.10.253]
2 <1 мс 29 ms 29 ms 192.168.253.12
3 31 ms 29 ms 30 ms BUX1 [192.168.11.3]
Трассировка завершена.
Что может быть???
Обьединил сети через PPPTP TMG 2010 и ISA 2006. Соединение есть всенормально.
С сети где стоит TMG людимогут подключаться к сети ISA.
Там где стоит Isa люди не могут попасть в сеть где TMG правила вроде все нормально (одинаковые).
Если делать tracert с сети где стоит ISA
Трассировка завершена.
C:\Documents and Settings\bux1>tracert 192.168.10.29
Трассировка маршрута к 192.168.10.29 с максимальным числом прыжков 30
1 <1 мс <1 мс <1 мс 192.168.11.1
2 * * * Превышен интервал ожидания для запроса.
3 * * * Превышен интервал ожидания для запроса.
4 * * * Превышен интервал ожидания для запроса.
5 * * * Превышен интервал ожидания для запроса.
6 * * * Превышен интервал ожидания для запроса.
7 * * * Превышен интервал ожидания для запроса.
И так до конца.
Трассировка завершена.
А с другой стороны все ок проходит
1 <1 мс * <1 мс srv01.milka.ru [192.168.10.253]
2 <1 мс 29 ms 29 ms 192.168.253.12
3 31 ms 29 ms 30 ms BUX1 [192.168.11.3]
Трассировка завершена.
Что может быть???
Есть вопрос подскажите кто знает. в журнале выходит ошибка:
Отклоненное соединение
Тип журнала: Служба межсетевого экрана
Состояние:
Правило:
Источник: Internal (172.16.0.235:42034)
Назначение: External (193.x.x.76:31614)
Протокол: openbank1
Пользователь:
Дополнительные сведения
Number of bytes sent: 0 Кол. байт получено: 0
Processing time: 0 ms Original Client IP: 172.16.0.235
Client agent:
Отклоненное соединение
Тип журнала: Служба межсетевого экрана
Состояние:
Правило:
Источник: Internal (172.16.0.235:42034)
Назначение: External (193.x.x.76:31614)
Протокол: openbank1
Пользователь:
Дополнительные сведения
Number of bytes sent: 0 Кол. байт получено: 0
Processing time: 0 ms Original Client IP: 172.16.0.235
Client agent:
Доброго времени суток!
Понимаю,что проблема глупая,но сам допедрить не могу..
Суть такова:
На шлюзе стоит ISA 2004 ,за ним стоит сеть из 50 компов,которые получают инет через прокси(firewall client). Все работает у всех все хорошо,но есть одна проблема, не могу пингануть ису с некоторых машин,с каких то пингует норм,с каких то нет.Вроде бы и хрен с ним с пингом,но тут доблестная бухгалтерия решила поставить новый банк клиент,который ни в какую не хочет коннектиться с банком.
Методом проб удалось установить,что на том компе который ПИНГУЕТ ису с банк клиентом все норм,заводится с полоборота,на компе который НЕ ПИНГУЕТ ни фига не работает.По закону подлости ни один комп в бухгалтерии не пингует ИСУ.
Теперь собственно сам вопрос:
как заставить компы во внутренней сети пинговать ису?
Помогите ребят,заранее благодарен
Понимаю,что проблема глупая,но сам допедрить не могу..
Суть такова:
На шлюзе стоит ISA 2004 ,за ним стоит сеть из 50 компов,которые получают инет через прокси(firewall client). Все работает у всех все хорошо,но есть одна проблема, не могу пингануть ису с некоторых машин,с каких то пингует норм,с каких то нет.Вроде бы и хрен с ним с пингом,но тут доблестная бухгалтерия решила поставить новый банк клиент,который ни в какую не хочет коннектиться с банком.
Методом проб удалось установить,что на том компе который ПИНГУЕТ ису с банк клиентом все норм,заводится с полоборота,на компе который НЕ ПИНГУЕТ ни фига не работает.По закону подлости ни один комп в бухгалтерии не пингует ИСУ.
Теперь собственно сам вопрос:
как заставить компы во внутренней сети пинговать ису?
Помогите ребят,заранее благодарен
pi1user
Начало решения Вашей проблемы лежит у Вас на поверхности, а именно логи и мониторинг исы
P.S. Без того знания как ходят клиенты через ису решение Вашей проблемы нереально. Без того как у Вас организованна сеть решение Вашей... (и далее по контексту)...
Начало решения Вашей проблемы лежит у Вас на поверхности, а именно логи и мониторинг исы
P.S. Без того знания как ходят клиенты через ису решение Вашей проблемы нереально. Без того как у Вас организованна сеть решение Вашей... (и далее по контексту)...
Все решил проблему сам,добавив на ИСЕ разрешение на пинг,как сразу не додумался посмотреть про разрешение ,для меня самого остается тайной,всю голову сломал=(
Домен на базе Windows 2003 AD + отдельно ISA 2004. Через ISA подключается к интернету не только локальный офис (192.168.0.0 - 192.168.0.255), но и удаленные подразделения (подсети 192.168.1.0 - 192.168.1.255. 192.168.2.0 - 192.168.2.255 и тд).
Удаленные подразделения подключаются через Cisco маршрутизаторы по IP VPN (полный траффик без ограничений есесссно). Все работает и интернет и локальная передача данных (у всех!).
На одной машине из подсети стоит программа, которой необходим выход к одному внешнему серверу. Нет соединения.
Из локальной сети в качестве теста подключения к тому же внешнему серверу через телнет подключение проходит отлично, из подсети всё никак. Активное правило на ISA - полный подступ ко всему без авторизации (на время устранения проблемы) - не помогает. В программе ISAtrpe порт подключения к удаленному серверу прописал (на всякий пожарный). Телнет как служба включена.
Есть идеи в чем может быть проблема?
Заранее спасибо за внимание.
Удаленные подразделения подключаются через Cisco маршрутизаторы по IP VPN (полный траффик без ограничений есесссно). Все работает и интернет и локальная передача данных (у всех!).
На одной машине из подсети стоит программа, которой необходим выход к одному внешнему серверу. Нет соединения.
Из локальной сети в качестве теста подключения к тому же внешнему серверу через телнет подключение проходит отлично, из подсети всё никак. Активное правило на ISA - полный подступ ко всему без авторизации (на время устранения проблемы) - не помогает. В программе ISAtrpe порт подключения к удаленному серверу прописал (на всякий пожарный). Телнет как служба включена.
Есть идеи в чем может быть проблема?
Заранее спасибо за внимание.
golmarco
маршрут от клиента к внешнему серверу через ису идет?
маршрут от клиента к внешнему серверу через ису идет?
Цитата:
маршрут от клиента к внешнему серверу через ису идет?
да, это единственный путь
и только сейчас осознал, что не могу просмотреть логи
Monitoring не открывается - пишет ошибка "Refresh failed", одно время была, потом сама исчезла
других способов доступа к логам нет?
по ходу дела пора переустанавливать сервер....
OneHunt
Цитата:
с помощью TMG https inspection и url filtering режет любые агенты, мессенджеры и скайпы
Цитата:
Господа, кто банил Агента ВКонтакте, что прописывали в правилах?
с помощью TMG https inspection и url filtering режет любые агенты, мессенджеры и скайпы
golmarco
Цитата:
конечно есть, в зависимости от того куда логи пишутся, либо это обычный текстовик либо sql
Цитата:
других способов доступа к логам нет?
конечно есть, в зависимости от того куда логи пишутся, либо это обычный текстовик либо sql
Здравствуйте, отдельной темы для tmg не нашел, решил написать здесь.
server1 (tmg)
LAN
ip 192.168.0.1
маска 255.255.255.0
шлюз
dns 192.168.0.2
WAN
ip получен от провайдера
маска тоже провайдер
шлюз тоже провайдер
dns пусто (прочитал, что его не надо заполнять)
server2 (AD + DNS + DHCP)
LAN
ip 192.168.0.2
маска 255.255.255.0
шлюз 192.168.0.1
dns 192.168.0.1
dns сервер провайдера я указал в настройках server2 -> dns (на вкладке пересылка)
dhcp выдает ip адреса типа (ip- 192.168.0.*; маска - 255.255.255.0; шлюз - 192.168.0.1; dns 192.168.0.2)
при таких настройках в интернете пишут, что компьютеры в сети должны свободно выходить в интернет (на server1 есть правило которое разрешает из внутренней сети во внешнюю любой трафик, любым пользователям), но на деле на компьютерах интернета нет.
если же в браузере прописать прокси сервер, то интернет появляется.
как настроить чтобы интернет был и без прокси-сервера?
правильно ли я прописал dns сервера?
вопрос снят, настроил впн и что то еще понажимал и заработало.
server1 (tmg)
LAN
ip 192.168.0.1
маска 255.255.255.0
шлюз
dns 192.168.0.2
WAN
ip получен от провайдера
маска тоже провайдер
шлюз тоже провайдер
dns пусто (прочитал, что его не надо заполнять)
server2 (AD + DNS + DHCP)
LAN
ip 192.168.0.2
маска 255.255.255.0
шлюз 192.168.0.1
dns 192.168.0.1
dns сервер провайдера я указал в настройках server2 -> dns (на вкладке пересылка)
dhcp выдает ip адреса типа (ip- 192.168.0.*; маска - 255.255.255.0; шлюз - 192.168.0.1; dns 192.168.0.2)
при таких настройках в интернете пишут, что компьютеры в сети должны свободно выходить в интернет (на server1 есть правило которое разрешает из внутренней сети во внешнюю любой трафик, любым пользователям), но на деле на компьютерах интернета нет.
если же в браузере прописать прокси сервер, то интернет появляется.
как настроить чтобы интернет был и без прокси-сервера?
правильно ли я прописал dns сервера?
вопрос снят, настроил впн и что то еще понажимал и заработало.
У меня стоит MS ISA 2006 Std на Windows Server 2003 Std R2 RU.
Мне нужно было разгрузить канал в Инет, нужно пользователям отключить потоковый аудио/видео/радио/ТВ-трафик.
Есть у меня для этого такое правило:
DenyMedia: действие - Запретить, протоколы - HTTP и HTTPS, откуда - VPN-клиенты и Внутренняя, куда - Внешняя, условие - InternetUsers (группа пользователей выпуска в Инет), OpenInetUsers (группа пользователей выпуска в Инет для исключений этого правила) и стоят Видео, Аудио.
Вот в таком режиме в принципе правило нормально работает, но! Я заметил, что народ откуда-то слушает музон, включает и слушает радио и т.д. Т.е. это правило не все отрабатывает ! и что характерно на мониторе http://monitor.isa (GFI Monitor) я даже этого не вижу.
Я сейчас взял и в условия добавил свой настраиваемый тип и там: video/mpeg, audio/mpeg, и самое главное - application/octet-stream.
Добавление последнего очень сильно жестого ограничил использоване Интернета в целом. Почти ничего нигде нельзя скачать из Инета, нельзя из внешней веб-почты вложения скачать и т.д.
Кто как порешал это проблему ?
Может есть др. варианты зарезания Инета, чтоб погасить медиа-контент ??
Мне нужно было разгрузить канал в Инет, нужно пользователям отключить потоковый аудио/видео/радио/ТВ-трафик.
Есть у меня для этого такое правило:
DenyMedia: действие - Запретить, протоколы - HTTP и HTTPS, откуда - VPN-клиенты и Внутренняя, куда - Внешняя, условие - InternetUsers (группа пользователей выпуска в Инет), OpenInetUsers (группа пользователей выпуска в Инет для исключений этого правила) и стоят Видео, Аудио.
Вот в таком режиме в принципе правило нормально работает, но! Я заметил, что народ откуда-то слушает музон, включает и слушает радио и т.д. Т.е. это правило не все отрабатывает ! и что характерно на мониторе http://monitor.isa (GFI Monitor) я даже этого не вижу.
Я сейчас взял и в условия добавил свой настраиваемый тип и там: video/mpeg, audio/mpeg, и самое главное - application/octet-stream.
Добавление последнего очень сильно жестого ограничил использоване Интернета в целом. Почти ничего нигде нельзя скачать из Инета, нельзя из внешней веб-почты вложения скачать и т.д.
Кто как порешал это проблему ?
Может есть др. варианты зарезания Инета, чтоб погасить медиа-контент ??
Нужна помощь. Сервак с 2мя сетевыми, 1 внешка, 2я LAN. Стоит ISA 2006, VPN через которое работают с RDP на другой машине в домене. Стоит TrafficQvota 2.1. Требуется разделить использование внешнего, зарубежного, траффика и внутреннего .ru зона или скажем .kg зона. Причём чтобы внешний (Мир) траффик учитывался и блокировался для каждого пользователя. Как это сделать? Какой дополнительный софт использовать?
botia
Вряд ли это возможно. ISA ведь работает с сетевыми объектами и он не может "знать" какие из них к какой зоне принадлежат. Надо постоянно делать обратный запрос к ДНС. Но даже и это не панацея. Если адрес 1.2.3.4 не транслируется в доменное имя, то как понять, к какому домену первого уровня он принадлежит?
Потом, еще ложка дегтя. Не всегда домен *.com размещается за бугром. И наоборот, домен *.ru может висеть в каком-нибудь голландском датацентре.
Значит, надо собрать статистику, которая бы отражала совокупность адресов на территории России и сделать из него некий вайтлист. Гигантский труд. И устареет он через день.
Но может кто-то это делает. Сюда копайте.
Вряд ли это возможно. ISA ведь работает с сетевыми объектами и он не может "знать" какие из них к какой зоне принадлежат. Надо постоянно делать обратный запрос к ДНС. Но даже и это не панацея. Если адрес 1.2.3.4 не транслируется в доменное имя, то как понять, к какому домену первого уровня он принадлежит?
Потом, еще ложка дегтя. Не всегда домен *.com размещается за бугром. И наоборот, домен *.ru может висеть в каком-нибудь голландском датацентре.
Значит, надо собрать статистику, которая бы отражала совокупность адресов на территории России и сделать из него некий вайтлист. Гигантский труд. И устареет он через день.
Но может кто-то это делает. Сюда копайте.
botia
Выбирайте - http://www.isaserver.org/software/ISA/Bandwidth-Control/
"Знакомые моих знакомых" пользовали "серфкоп" - хвалили...
Здесь на родном языке http://www.redline-software.com/rus/products/surfcop/
И еще можно найти готовые наборы ip-адресов по странам, погуглите по "дистенейшен сет"( я когда-то брал вроде здесь http://www.isaserver.bm/ но сейчас не нашел),
и дальше бить на узкие правила... Но это очень "ручной" метод.
Выбирайте - http://www.isaserver.org/software/ISA/Bandwidth-Control/
"Знакомые моих знакомых" пользовали "серфкоп" - хвалили...
Здесь на родном языке http://www.redline-software.com/rus/products/surfcop/
И еще можно найти готовые наборы ip-адресов по странам, погуглите по "дистенейшен сет"( я когда-то брал вроде здесь http://www.isaserver.bm/ но сейчас не нашел),
и дальше бить на узкие правила... Но это очень "ручной" метод.
Люди, нужна помощь. На мой пост никто ничего не ответил... 
Сейчас выпустил программеров в группу исключений правил, Инет стал тормозить, народ слушает музыку, на GFI-мониторе нифига не видно !
что делать , помогите ?
Сейчас выпустил программеров в группу исключений правил, Инет стал тормозить, народ слушает музыку, на GFI-мониторе нифига не видно !
что делать , помогите ?
MaxFactor78
1. В ИСЕ включайте логирование для всех правил, и в ИСЕ смотри какой идет траффик,
2. поставьте себе Bandwidth Splitter - http://www.bsplitter.com/rus/ - шейпер
еще картинка
есть фришная лицензия на 10 компьютеров.
версии 1.22, 1.33 с патчами #
Есть возможность мониторить в реальном времени, текущие соединения пользователей (ИП серверов, порты, скорость, траффик), можно группам компьютеров выделить определенную полосу пропускания и много чего еще.
А вообще сначала надо в ИСЕ все запретить, а потом уже открывать по необходимости.
Радио-онлайн обычно используют порт 8080. А подробнее смотрте в логах.
1. В ИСЕ включайте логирование для всех правил, и в ИСЕ смотри какой идет траффик,
2. поставьте себе Bandwidth Splitter - http://www.bsplitter.com/rus/ - шейпер
еще картинка
есть фришная лицензия на 10 компьютеров.
версии 1.22, 1.33 с патчами #
Есть возможность мониторить в реальном времени, текущие соединения пользователей (ИП серверов, порты, скорость, траффик), можно группам компьютеров выделить определенную полосу пропускания и много чего еще.
А вообще сначала надо в ИСЕ все запретить, а потом уже открывать по необходимости.
Радио-онлайн обычно используют порт 8080. А подробнее смотрте в логах.
anton04
Цитата:
Цитата:
Ну это Вы разрешили это только для сервера где стоит сама иса, а для других серверов и клиентов нужно отдельное анонимное правило которое создаётся руками и помещается сразу после разрешения протокола DNS.Друг, подскажи как его сделать? Чёт я так и не въехал что ты имел ввиду.
Страницы: 1234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950515253545556575859606162636465666768697071727374757677787980818283848586878889909192939495
Предыдущая тема: Kerio WinRoute Firewall (часть 4)
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.