Цитата:
Доброго времени суток. Кто то знает решение, как заблокировать соц сети?.
Можно попробовать использовать сторонний софт. GFI к примеру - блокирует сайты по тематике согласно базе, можно вручную добавлять.
» Microsoft ISA Server 2006/2004/2000 & TMG/UAG (Часть 4)
Цитата:
Можно попробовать использовать сторонний софт. GFI к примеру - блокирует сайты по тематике согласно базе, можно вручную добавлять.
PRiM
Цитата:
GFI и иже с ними это шейперы, смысл их использовать для таких целей = нулю. Это называется использование программ не по назначениюю
Цитата:
Можно попробовать использовать сторонний софт. GFI к примеру
GFI и иже с ними это шейперы, смысл их использовать для таких целей = нулю. Это называется использование программ не по назначениюю
Цитата:
Можно попробовать использовать сторонний софт. GFI к примеру - блокирует сайты по тематике согласно базе, можно вручную добавлять.
На момент сейчас у меня нет лицензии на GFI, а на сколько я знаю... кр... на нее под TMG еще нет.
Вот и ищу пока альтернативные методы... но ничего не получается
Здравствуйте.
Есть 2 сети
192.168.2.0 (ISA) и 192.168.0.0 (TMG)
Второй день не могу понять. Создал IPSec между ISA (2004 SE 2003) и TMG (Windows 2008 R2)
С сервера с TMG компы удаленной сети доступны. Работает RDP. Но вот из его локальной сети компы удаленной сети не пингуются.
Такая же ситуация с компом с ISA. Пинги идут только с самого шлюза. С компьютеров в локальной сети пинги не идут. К тому же по RDP компы не доступны даже с isa. Как сделать так, чтобы сети видели друг друга.
Делал все по доступным интрукциям. Службы Маршрутизация и удаленный доступ не трогал.
По все видимости на шлюзах необходимо прописать дополнительную маршрутизацию. Но не могу понять, что конкретно.
Добавлено:
Atroum_fox
Вообще административным путем проще.
Есть 2 сети
192.168.2.0 (ISA) и 192.168.0.0 (TMG)
Второй день не могу понять. Создал IPSec между ISA (2004 SE 2003) и TMG (Windows 2008 R2)
С сервера с TMG компы удаленной сети доступны. Работает RDP. Но вот из его локальной сети компы удаленной сети не пингуются.
Такая же ситуация с компом с ISA. Пинги идут только с самого шлюза. С компьютеров в локальной сети пинги не идут. К тому же по RDP компы не доступны даже с isa. Как сделать так, чтобы сети видели друг друга.
Делал все по доступным интрукциям. Службы Маршрутизация и удаленный доступ не трогал.
По все видимости на шлюзах необходимо прописать дополнительную маршрутизацию. Но не могу понять, что конкретно.
Добавлено:
Atroum_fox
Вообще административным путем проще.
Цитата:
Добавлено:
Atroum_fox
Вообще административным путем проще.
Да но задача поставлена... да и понятно что юзер врятли догадаеться об этой лазейки. Но все же, это дырка получается, и ее надо как то закрыть.
anton04
Цитата:
Не пишите то, чего не знаете!
Цитата:
GFI WebMonitor for ISA Server – контроль за использованием ресурсов Интернета в реальном времени
•Мониторинг активности пользователей HTTP и FTP в реальном времени (с возможностью прервать сессию)
•Проверка антивирусами (BitDefender, Kaspersky, Norman) выбранные типы скачиваемых файлов скрыто или с индикатором прогресса, в том числе проверка java и прочих скриптов
• Блокирование доступа к сайтам (используются ISA Server Destination/URL Sets)
•Проверка сайтов и простановка рейтинга, с помощью Yahoo!’s SafeSearch
Цитата:
GFI и иже с ними это шейперы, смысл их использовать для таких целей = нулю. Это называется использование программ не по назначениюю
Не пишите то, чего не знаете!
Цитата:
Шейпер — это программное или аппаратное средство для контроля и управления за нагрузкой интернет-канала.
GFI WebMonitor for ISA Server – контроль за использованием ресурсов Интернета в реальном времени
•Мониторинг активности пользователей HTTP и FTP в реальном времени (с возможностью прервать сессию)
•Проверка антивирусами (BitDefender, Kaspersky, Norman) выбранные типы скачиваемых файлов скрыто или с индикатором прогресса, в том числе проверка java и прочих скриптов
• Блокирование доступа к сайтам (используются ISA Server Destination/URL Sets)
•Проверка сайтов и простановка рейтинга, с помощью Yahoo!’s SafeSearch
Цитата:
GFI WebMonitor for ISA Server – контроль за использованием ресурсов Интернета в реальном времени
•Мониторинг активности пользователей HTTP и FTP в реальном времени (с возможностью прервать сессию)
Но вот снова приходим к мысле, а https трафик сможет ли он резать? кто то пробывал?
Цитата:
Но вот снова приходим к мысле, а https трафик сможет ли он резать? кто то пробывал?
под ISA 2006 я ставил ISA server toolkit от Red Line там в разделе web фильтров был SSL decoder, который занимался подменой сертификатов и соответственно позволял после этого инспектировать трафик.
PRiM
Цитата:
Вы просто неправильно меня поняли.
Цитата:
С этим я и не спорил.
Цитата:
А вот это, как раз я и имел в виду. Что в любом случае шейпер для исы использует Destination/URL Sets из исы и использовать его только для этого это бред, т.к. иса сама прекрасно справляется с данной функцией.
Цитата:
Не пишите то, чего не знаете!
Вы просто неправильно меня поняли.
Цитата:
Шейпер — это программное или аппаратное средство для контроля и управления за нагрузкой интернет-канала.
С этим я и не спорил.
Цитата:
• Блокирование доступа к сайтам (используются ISA Server Destination/URL Sets)
А вот это, как раз я и имел в виду. Что в любом случае шейпер для исы использует Destination/URL Sets из исы и использовать его только для этого это бред, т.к. иса сама прекрасно справляется с данной функцией.
Цитата:
под ISA 2006 я ставил ISA server toolkit от Red Line там в разделе web фильтров был SSL decoder, который занимался подменой сертификатов и соответственно позволял после этого инспектировать трафик.
Да но под TMG я этого не видел. В TMG можно включить проверку HTTPS, но тогда у пользователей, когда они ходят скажем на почту... возникает дикая проблема с сертификатами. И как этого избежать, я не понял, но тогда и блокирования соц. сетей по https начинает работать.
Добавлено:
Цитата:
А вот это, как раз я и имел в виду. Что в любом случае шейпер для исы использует Destination/URL Sets из исы и использовать его только для этого это бред, т.к. иса сама прекрасно справляется с данной функцией.
Как оказалось по http справляеться, а вот с https явные проблемы.
Цитата:
но тогда у пользователей, когда они ходят скажем на почту... возникает дикая проблема с сертификатами. И как этого избежать, я не понял, но тогда и блокирования соц. сетей по https начинает работать.есть такое дело, принцип то один вместо сертификата сервера иса подсовывает клиенту свой собственный. Естественно имена узлов не совпадают и идет ругань даже если этот сертификат в доверенных. Если проблемных сайтов немного можно их имена добавить в этот сертификат как дополнительные ДНС ну а универсальное решение - нужно сварганить сертификат с именем типа *.ru только как не знаю
хотя почему не знаю в openssl и создаем. Цитата:
А вот это, как раз я и имел в виду. Что в любом случае шейпер для исы использует Destination/URL Sets из исы и использовать его только для этого это бред, т.к. иса сама прекрасно справляется с данной функцией.
Давайте не будем спорить.
GFI может и использует Destination/URL Sets из ISA. Однако у него своя собственная база WebGrade Database причем как локальная, так и онлайн.
В политиках можно блокировать сайты по категориям.
Отдельно туда можно добавлять, либо исключать свои сайты.
Цитата:
Веб-фильтрация с базой в более 280.000.000 URL
GFI WebMonitor предоставляет мощную базу данных сайтов, распределенных по категориям, позволяя разрешать или блокировать доступ к ним для каждого пользователя или для групп пользователей, например, к материалам для взрослых, играм, личной почте, P2P, вконтакте, одноклассникам и проч. База данных обновляется ежедневно и постоянно расширяется. Вы можете направить нам URL в очередь на добавление из консоли управления продуктом, и они будут добавлены в базу в течение нескольких часов!
Средствами ISA такое запарно настраивать.
Цитата:
есть такое дело, принцип то один вместо сертификата сервера иса подсовывает клиенту свой собственный. Естественно имена узлов не совпадают и идет ругань даже если этот сертификат в доверенных. Если проблемных сайтов немного можно их имена добавить в этот сертификат как дополнительные ДНС ну а универсальное решение - нужно сварганить сертификат с именем типа *.ru только как не знаю хотя почему не знаю в openssl и создаем.
В том то и дело
. Про openssl как то не думал. Да и опыта там создания сертификатов нет. Ну сегодня попробую... отпишусь о результатах. На сервере с TMG настроена избыточность ISP с балансировкой нагрузки с возможностью отработки отказа.
Первый провайдер Билайн 90%, второй КГТС 10%. Не открываются 2 сайта выдается страница с ошибкой 64 узел не доступен. Сайты пингуются и tracert на них идет. При отключении провайдера КГТС сайты открываются без проблем, но когда подключены оба провайдеры выдается 64 ошибка.Пробовал подключать ноут на прямую к модему сайт открывается.
Правил хоть как-то связанных с этими сайтами в ТМГ нет. Подскажите пожалуйста как решить данную проблему.
Первый провайдер Билайн 90%, второй КГТС 10%. Не открываются 2 сайта выдается страница с ошибкой 64 узел не доступен. Сайты пингуются и tracert на них идет. При отключении провайдера КГТС сайты открываются без проблем, но когда подключены оба провайдеры выдается 64 ошибка.Пробовал подключать ноут на прямую к модему сайт открывается.
Правил хоть как-то связанных с этими сайтами в ТМГ нет. Подскажите пожалуйста как решить данную проблему.
Доброго времени суток форумчане.
1. Скажите можно ли русифицировать Forefront TMG 2010?
2. Может можно установить поверх английской версии русскую (без потери настроек)?
1. Скажите можно ли русифицировать Forefront TMG 2010?
2. Может можно установить поверх английской версии русскую (без потери настроек)?
bogdandn
Цитата:
нет.
Цитата:
нет.
Но можно сделать экспорт всех настроек, а потом импортировать их в русскую TMG.
Цитата:
1. Скажите можно ли русифицировать Forefront TMG 2010?
нет.
Цитата:
2. Может можно установить поверх английской версии русскую (без потери настроек)?
нет.
Но можно сделать экспорт всех настроек, а потом импортировать их в русскую TMG.
Спасибо, так и сделаю.
Вопрос такой, стоит TMG 2010 Enerp. SP2 + 2008R2 SP1. Добавил на шлюз роль ДНС сервера. Не знаю почему, но сервер грузится около полу часа. "Подготовка к настройке Windows ... Не выключайте компьютер при загрузке висит"
Причина мне не понятна, есть идеи что я мог натворить?
Есть мнение?
Причина мне не понятна, есть идеи что я мог натворить?
Есть мнение?
F_L LiaNet
Цитата:
Цитата:
Уберите роль DNS сервера и см. системные логи.
P.S. Данный вопрос не имеет отношения к isa и tmg.
Цитата:
Добавил на шлюз роль ДНС сервера.
Цитата:
Причина мне не понятна, есть идеи что я мог натворить?
Уберите роль DNS сервера и см. системные логи.
P.S. Данный вопрос не имеет отношения к isa и tmg.
Народ, такой вопрос. Мне нужно заблокировать заход в локальную сеть из вне через TeamViewer. Мне подсказали, что надо заблокировать исходящие соединения на порты 5938 и 9997 на любой адрес. Вопрос: может кто-нибудь подробно объяснить, как грамотно создать правило под этот запрет?
Цитата:
как грамотно создать правило под этот запрет?
Создаете новое правило на блокирование трафика, создаете новый протокол на исходящий трафик на ваши порты, выбираете кому запретить и все.
TV не сможет подключиться к своим серверам и соответственно к нему тоже никто не подключиться
ph5
igrmik
Насколько я помню TV использует и 80 порт и другие, так что ограничится только этими портами не удастся. Корректней заблочить DNS name.
igrmik
Насколько я помню TV использует и 80 порт и другие, так что ограничится только этими портами не удастся. Корректней заблочить DNS name.
Я так его закрывал... можно еще закрыть его ip & DNS
*dyngate.*,*teamviewer.*
216.108.224.222
80.237.220.185
85.214.154.223
85.214.78.0-85.214.78.254
77.41.13.0-77.41.13.254
80.237.157.95
85.25.143.69
217.23.49.0-217.23.49.24
87.230.74.0-87.230.74.24
87.230.73.0-87.230.73.24
89.185.96.0-89.185.96.254
91.121.4.0-91.121.4.254
91.121.28.0-91.121.28.254
93.186.48.0-93.186.48.254
178.75.246.0-178.75.246.254
178.77.120.0-178.77.120.254
85.25.147.0-85.25.147.254
62.75.215.0-62.75.215.254
62.75.246.0-62.75.246.254
69.64.74.0-69.64.74.254
89.189.96.0-89.189.96.245
*dyngate.*,*teamviewer.*
216.108.224.222
80.237.220.185
85.214.154.223
85.214.78.0-85.214.78.254
77.41.13.0-77.41.13.254
80.237.157.95
85.25.143.69
217.23.49.0-217.23.49.24
87.230.74.0-87.230.74.24
87.230.73.0-87.230.73.24
89.185.96.0-89.185.96.254
91.121.4.0-91.121.4.254
91.121.28.0-91.121.28.254
93.186.48.0-93.186.48.254
178.75.246.0-178.75.246.254
178.77.120.0-178.77.120.254
85.25.147.0-85.25.147.254
62.75.215.0-62.75.215.254
62.75.246.0-62.75.246.254
69.64.74.0-69.64.74.254
89.189.96.0-89.189.96.245
Если не трудно, гляньте, народ, на протокол и правило, которые у меня получились. Что правильно\неправильно?
http://imageshack.us/f/502/92187103.jpg/
http://imageshack.us/photo/my-images/221/73637662.jpg/
http://imageshack.us/f/502/92187103.jpg/
http://imageshack.us/photo/my-images/221/73637662.jpg/
уберите из "FROM" внешнюю сеть, а в "TO" все уберите и добавьте туда новый DNS со следующим содержим:
teamviewer.com
*teamviewer.com
*.teamviewer.com
*dyngate.com
*.dyngate.com
dyngate.com
применить изменения, поставьте себе TV, включите на ИСЕ логировние вашего компьютера и смотрите что происходит....
teamviewer.com
*teamviewer.com
*.teamviewer.com
*dyngate.com
*.dyngate.com
dyngate.com
применить изменения, поставьте себе TV, включите на ИСЕ логировние вашего компьютера и смотрите что происходит....
Igrmik, благодарю, а то, что я наколбасил в созданном протоколе TeamViewer имеет право на жизнь?
имеет, но лишние блокировочные правила ни к чему.. зачем запрещать весь исходящий трафик по этим протоколам... потом какую-нить прогу поставите и она тоже по этим протоколам будет работать, и она не сможет выходить в инет и будете разбираться...
igrmik
Не вдаюсь в детали, но основное правило для настройки файерволов - запрет по умолчанию на все, и только что нужно разрешаем.
Не вдаюсь в детали, но основное правило для настройки файерволов - запрет по умолчанию на все, и только что нужно разрешаем.
Цитата:
и она не сможет выходить в инет и будете разбираться..
Создал правило, включил его, но все равно по тимвьюеру сумел подключиться из дома. Что не так делаю, есть предположения?
http://img59.imageshack.us/img59/6495/dnsh.jpg
http://img822.imageshack.us/img822/1714/teamviewerr.jpg
ph5
Цитата:
Смотрите свои логи там всё есть
Цитата:
Создал правило, включил его, но все равно по тимвьюеру сумел подключиться из дома. Что не так делаю, есть предположения?
Смотрите свои логи там всё есть
Страницы: 1234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950515253545556575859606162636465666768697071727374757677787980818283848586878889909192939495
Предыдущая тема: Kerio WinRoute Firewall (часть 4)
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.