» Microsoft ISA Server 2006/2004/2000 & TMG/UAG (Часть 4)

Цитата:

да слона то я и не заметил нужно еще правило публикации наружу этого клиента, причем если таких клиентов несколько то нужно на каждом задавать свой порт UDP и делать отдельное входящее правило.

Публикация правила есть, все как по инструкции http://www.nhvstudio.ru/publ/nastrojka_microsoft_isa_server_2004_2006_dlja_raboty_s_infotecs_vipnet_client_3_0/1-1-0-16
Отдельное входящее правило? Хм,может в этом и проблема была,нужно попробовать.

Цитата:

Публикация правила есть, все как по инструкции http://www.nhvstudio.ru/publ/nastrojka_microsoft_isa_server_2004_2006_dlja_raboty_s_infotecs_vipnet_client_3_0/1-1-0-16
Отдельное входящее правило? Хм,может в этом и проблема была,нужно попробовать.

как то наворочено,
у меня развернута своя сеть VipNet и несколько клиентов других сетей (не захотели с нами доверительные отношения устанавливать)
работает именно такая простая связка
клиент -> Внешняя -> протокол vipnet out (UDP от 55777 до 55777 Отправить Получить)
Внешняя -> клиент -> протокол vipnet in (UDP от 55777 до 55777 Получить Отправить)

при чем деловая почта тоже работает, хотя вроде бы требует TCP 5000-5003

Valery12
Еще такие вопросы:
На сервере у вас настроена маршрутизация, в настройках сетевой карты стоит галка раздавать интернет, брандмауэр и служба ICS отключены?

Добавлено:
И еще: Сеть у вас как организованна? Сколько ВипНет клиентов в ней?

Цитата:

Еще такие вопросы:
На сервере у вас настроена маршрутизация, в настройках сетевой карты стоит галка раздавать интернет, брандмауэр и служба ICS отключены?

я не понял на каком сервере, если на том где стоит ISA то естественно настроена
Цитата:

И еще: Сеть у вас как организованна? Сколько ВипНет клиентов в ней?

есть свой координатор с отдельным выходом в интернет за которым сейчас порядка 50 клиентов и два "чужих" клиента в локальной сети за фаерволом ISA 2006

Ребя, сорри, наверняка было уже, некогда искать просто. Есть ИСА 2006, поднятая из ИСЫ 2004, без прокси, простой нат. Перестали работать фильтры по урлам, доменам, также в упор не отлавливает запрет по типу контента. В 2004 всё работало. Есть еще в другом месте ИСА 2004 с аналогичным набором рулей и тоже без прокси, с натом - там всё прекрасно ловится. В чем грабли?

EgOus


Цитата:

наверняка было уже, некогда искать просто.

Нет не было, каждая проблема сугубо индивидуальна. А начинать надо с логов и мониторинга, тогда действительно не нужно будет извиняться что некогда...


Цитата:

Есть ИСА 2006, поднятая из ИСЫ 2004

Это как это?

anton04
ИСА 2006 поставлена поверх 2004, в мониторинге запрещающие рули просто не отрабатывают - доступ идет через разрещающие. Суть вопроса в том, почему те же рули работают в 2004, а в 2006 нет.

з.ы. логирование переключил с мсде в файловый режим, завтра погляжу, чего он в логах рисует

EgOus


Цитата:

в мониторинге запрещающие рули просто не отрабатывают

Что значит не отрабатывают!? Вы в online мониторинг исы смотрели? (закладка "наблюдение"-"ведение журнала") А имитатор трафика пробовали запускать?


Цитата:

Суть вопроса в том, почему те же рули работают в 2004, а в 2006 нет.

Не зная как вы проводили миграцию и была ли эта миграция (а тем более с какой версии на какую, стандарт или энтерпрайз) сказать ничего нельзя. Т.к. полной миграции между 2004 и 2006 исой нет.

anton04
Не отрабатывают это значит:
В онлайн мониторинге (Monitoring - Logging) через ису 2004 и исе 2006 лезу на одни и те же сайты, проверяю например, блокировку по URL. На исе 2004, при натыкании на блокирующее правило по определенному урлу, дальше не пускает. В исе 2006 точно такое же правило, по тому же урлу, проскакивет и я спокойно попадаю на этот урл через дальше стоящее разрешающее правило. То же самое происходит и по типам контента. Допустим, блокирую видео и аудио, на исе 2004 утыкаюсь в блокирущее правило, а в 2006 опять спокойно выхожу через разрешающее.
Имитатор трафика зачем? Я его и так живьем руками толкаю.

ИСА стандарт в обоих случаях. К сожалению, миграцию производил не я лично.

EgOus


Цитата:

На исе 2004, при натыкании на блокирующее правило по определенному урлу, дальше не пускает. В исе 2006 точно такое же правило, по тому же урлу, проскакивет и я спокойно попадаю на этот урл через дальше стоящее разрешающее правило.

Содержимое (скриншоты всех закладок) этих (двух) правил в студию, притом и обоих ис. ipconfig /all с клиента и с обоих ис в студию.


Цитата:

Имитатор трафика зачем? Я его и так живьем руками толкаю.

Имитатор трафика для того и сделан чтобы проверять не только живьём.

P.S. Попробуйте по простому сделать экспорт/импорт этого блокирующего правила (из isa 2004 в isa 2006). О результатах сообщите.

anton04
Да зачем скриншоты то, они одинаковые абсолютно. Разница тут в том, что сети физически разные, но с абсолютно одинаковой конфигурацией - все тупо идут в инет через нат на исе, в одной сети 2006, в другой 2004. Дык и на месте, где сейчас 2006, была 2004, и все работало, так что ипконфиг тут совершенно непричем. Походу надо пробовать бэкапить ису 2006 и по чистой поднимать, где то лагает что то тупо, вопрос что.

EgOus


Цитата:

Да зачем скриншоты то, они одинаковые абсолютно.

Ну не хотите помощи и не надо, я не напрашиваюсь...

Valery12 большое спасибо! Сделал по вашему методу и все заработало.
Итак,что получилось:

Есть сеть без маршрутизатора, шлюзом в ней является обычный сервер win2003 с настроенным DHCP и ISA server.
В сети есть 2 машины (один обычный компьютер с WinXP, и сервер терминалов win2008) работающие с VipNet.

На ISA были созданы правила:

2 машины с випнетом -> Внешняя -> протокол vipnet out (UDP от 55777 до 55778 Отправить Получить)
Внешняя -> 2 машины с випнетом -> протокол vipnet in (UDP от 55777 до 55778 Получить Отправить)

На машинах с випнетом был изменен только порт:
Сервис -> Настройка -> Защищенная сеть -> Порт инкапсуляции в UDP пакеты: 55777(на первой машине) и 55778(на второй)

В итоге мы получили 2 работающие в сети машины с VipNet и рабочей почте. Надеюсь кому нибудь пригодится эта информация.

и у меня работает!

Добрый день всем.

Такой вопрос:

Есть сервер ISA2006St, на нем все настроено и работает. Но понадобилось,чтобы на 1 внешний сервер получили доступ все из внутренней сети.

Если просто выдаю фул доступ из внутренней к внешней,то тот сервер пингуется.
Если выдаю фул доступ из внутренней к специально созданной "внешней сети" айпишник х.х.х.х для этого сервера, то он не пингуется.

В чем может быть проблема?

Уважаемые форумчане, подскажите пожалуйста куда копнуть можно, шеф радио любит слушать на работе. Включает, все нормально, минут через 15 - 20 оно вырубается и включатся несколько часов не хочет. В качестве прокси стоит ТМГ стандарт едишн. Пытался мониторить, в журнале ничего не заметил на url и ip радиостанции. Заранее спасибо!

Darktime


Цитата:

понадобилось,чтобы на 1 внешний сервер получили доступ все из внутренней сети.

Данный процесс называется публикацией, копайте в эту сторону сами (т.к. у Вас в задании не сказано чего вы хотите опубликовать).

evype90


Цитата:

Пытался мониторить, в журнале ничего не заметил на url и ip радиостанции. Заранее спасибо!

Тут можно только смотреть логи, больше ничего сделать нельзя.

Хотя по хорошему надо проверить стоит ли антивирь на TMG, если ли какой шейпер на нём. Да и порядок правил и что в них нужно тоже разбирать, в общем без логов никуда...

Возможно ли сделать на ИСЕ тотальный учет трафика?

То есть чтобы у каждого компьютера (IP адрес) была квота.

Учет он и так есть. А вот квотирование.. тобиш ограничение.. это за пределами функцмй ISA. анализатор логов в интернете много для ISA Server.

AkeHayc


Цитата:

Возможно ли сделать на ИСЕ тотальный учет трафика?

Да, но только сторонними дополнениями, т.к. в самой исе шейпера нет.

Уважаемые форумчане подскажите куда копать. В домене одна клиентская станция не может соединиться с TMG сервером. В логах TMG нашел событие с кодом 21284
"Количество отклоненных подключений с исходного IP-адреса 192.168.17.71 превысило установленный лимит. Это может означать, что исходный узел инфицирован или пытается атаковать компьютер Forefront TMG."

Проверил станцию антивирем, все чисто, на TMG в настройках Flood Mitigations поставил для этой станции лимиты подключений повыше. Все равно нет связи с TMG. Куда ещё копнуть можно?

вопрос решил, недавно расширял DHCP зону, а на TMG во внутренней сети не расширил, вот и не давал конектится

вопрос
1) как запретить просмотр и закачку видео и музыки на TMG?
2) как правильно использовать url categories для доступа только почте?
Заранее спасибо!

Leon1978
А вкладка "типы содержимого" Вам не видна (впрочем у меня ISA, может у Вас иное) ?

я думаю мы говорим про вкладку Content types, там галочка стоит на all conttent types, когда я выбираю selected и отмечаю application, audio, video. То после этого у меня ни один сайт не открывается. Понять не могу почему. Это так должно быть? Сделал наоборот и вроде как все заработало, только не заработал Скайп и майл агент. А мне нужно чтобы они работали, можно ли сделать через url category запрет на музыку и видео? Но чтобы при этом работал Скайп и майл агент?

Leon1978
application по русски будет "приложения" видимо...
Что по кнопке "сведения" дает следующее описание:
"Предопределенный тип содержимого, используемый для контроля доступа к содержимому, включающему программный код (EXE-файлы, библиотеки DLL, файлы OLE и VBS)."

А вроде Вы хотели блокировать audio...
Если существующих "типов содержимого" Вам не достаточно, есть пимпа "создать"- определитесь с расширениями файлов и типами MIME ( http://www.iana.org/assignments/media-types/index.html ) которые хотите блокировать и создайте свой набор....

А по категориям блокировать-легко. Создайте новый полный набор URL-ов содержащих музыку и видео. Укажите его в правиле с действием - запретить. Voila !

wwladimir
Чем дальше тем больше вопросов получается,
1) Поставил запрет на URL однако как оказалось что mail.ru это не web-mail а search-engines. Можно ли свой набор сделать скажем из трех сайтов
*.mail.ru
yahoo.com
gmail.com
и назвать этот сет Почта?
2) Как работает HTTPs Inspection, когда включаю ее, отключаются майл-агенты, скайпы. Что не так настроено? Искал в гугле про HTTPs Inspection, там написано чтобы блокировать агенты нужно его включить но так же поставить на запрет сет Chat, у меня он в запрете не стоит, но агенты отключаются все равно.
3) Для запрета видео и музыки нужно создать правило на запрет и выбрать в content type только video и music? Пробовал по разному что-то не отрабатывает, как качалось видео так и качается. Должен ли при этом HTTPs Inspection быть включен?

Leon1978


Цитата:

Можно ли свой набор сделать скажем из трех сайтов
*.mail.ru
yahoo.com
gmail.com
и назвать этот сет Почта?

Да можно, но это уже будет domain name set, а не URL


Цитата:

3) Для запрета видео и музыки нужно создать правило на запрет и выбрать в content type только video и music?

Да.


Цитата:

Пробовал по разному что-то не отрабатывает, как качалось видео так и качается.

Редактируйте и добавляйте свои content type и учитывайте это будет работать только в том случае если сайт с которого пытаются закачать видео правильно отдаёт MIME типы этого видео.
Если хотите запретить совсем то Вам нужно ставить продвинутый шейпер для TMG.

anton04
то Вам нужно ставить продвинутый шейпер для TMG.
Какой посоветуете? Я смотрел уже темы для TMG шейперов взломанных нету, почему то. Или TMG такой не популярыный?

Leon1978


Цитата:

Какой посоветуете?

Лично я давно пользуюсь Bandwidth Splitter, правда купленным.


Цитата:

Я смотрел уже темы для TMG шейперов взломанных нету, почему то. Или TMG такой не популярыный?

Ну то что TMG не популярный это да, заметно больше требует ресурсов ПК, ну и то что шейперы очень трудно ломаются это тоже правда.