» Microsoft ISA Server 2006/2004/2000 & TMG/UAG (Часть 4)

ph5
Там где вы хотите запретить ТИМ...
1. на клиентский комп ставите ТИМ, в службах его останавливаете.
2. на сервере где ИСА, включаете логирование, только для компьютера где установлен ТИМ.
3. на компьютере с ТИМом запускаете ТИМ
4. смотрите в логах ИСы что происходит....

Цитата:

1. на клиентский комп ставите ТИМ,

А если человек просто без установки его запускает? Это важный момент?


Цитата:

только для компьютера где установлен ТИМ.

Это, видимо, если поднят домен. У меня одноранговая сетка, видимо нужно будет в dhcp привязывать ip к железному адресу и заводить новый компьютер в isa.


Добавлено:
Пытаюсь в локалке подцепица через TV с одного компа к другому - увы, получается. Так может и должно быть? В логах это:
http://img849.imageshack.us/img849/9806/52068229.jpg


Добавлено:
Может я всеж таки протокол не правильно настроил?

Цитата:

А если человек просто без установки его запускает? Это важный момент?

все равно, главное отловить момент подключения ТИМа к своим серверам.
Цитата:

Это, видимо, если поднят домен.

совсем нет.
ИСА консоль -> Monitoring ->Logging -> Edit Filter
Filter by - Client IP, Condition - Equals, Value - IP компьютера с ТИМом
Add to List
На компьютере с ТИМом, перезапустить ТИМ

Цитата:

ИСА консоль -> Monitoring ->Logging -> Edit Filter
Filter by - Client IP, Condition - Equals, Value - IP компьютера с ТИМом
Add to List

Так и сделал. Лог вот такой http://img849.imageshack.us/img849/9806/52068229.jpg
или вот так http://img688.imageshack.us/img688/1543/25047132.jpg
Но в локалке по TV соединение есть. И от себя из дома удаленно подключался к рабочему компу - получилось(( Может протокол по запрету неправильно сваял?
Такое впечатление, что правило неправильно создал.

для чистоты эксперимента.
на рабочем компе поставьте (запустите) ТИМ, только убедитесь, что он не запущен уже.
запустите лог, запустите ТИМ и выложите протокол в текстовом виде с момента попытки подключения ТИМа

Цитата:

поставьте (запустите) ТИМ, только убедитесь, что он не запущен уже.
запустите лог, запустите ТИМ

Несовсем понял, когда запускать TV.

ps Есть еще вопрос: для создания протокола по запрету Temviewer сделал так:
Parameters: Port Range - 5938, 9997 - Protocol Type - TCP - Direction - Outbound
Parameters: Port Range - 5938, 9997 - Protocol Type - UDP - Direction - Send
Так правильно?

ТИМ запускать, после запуска логирования
Цитата:

Так правильно

-да

Запустил. В логах все также, как было. Единственно, не знаю, как в isa сохранить лог в тексте

Добавлено:
Вот если так выложу?

справа - Related Tasks - Copy All results to ClipBoard

Добавлено:
добавьте в список протоколов 80 и 443

Цитата:

справа - Related Tasks - Copy All results to ClipBoard

Нажимаю, но ничего не происходит(

Цитата:

добавьте в список протоколов 80 и 443

icq и qip не отвалица у народа?

Цитата:

icq и qip не отвалица у народа

вообще-то родные протоколы для аськи и квипа 4000,5190,5222, ну и 443 иногда
Но вы добавьте их только в правило блокирующее ТИМ

Цитата:

Но вы добавьте их только в правило блокирующее ТИМ

Вот к этому добавить?
"Есть еще вопрос: для создания протокола по запрету Temviewer сделал так:
Parameters: Port Range - 5938, 9997 - Protocol Type - TCP - Direction - Outbound
Parameters: Port Range - 5938, 9997 - Protocol Type - UDP - Direction - Send"
И по tcp и по udp?

в свойствах правила, добавить к перечню протоколов
вкладка Protocols нажать Add раскрыть Common protocols и выбрать HTTP и HTTPS

Цитата:

igrmik

Добавил протоколы по Вашей подсказке, теперь все выглядит так:

И теперь хитрый TV ругается на невозможность подключения. Даже боюсь радоваться раньше времени.

Можно еще вместо Internal поставить All Protected Networks.
И все, как говорится железный занавес...

Цитата:

И все, как говорится железный занавес...

Насколько железный? Просто, боюсь, если завтра люди не смогут в инет, почту и аську зайти будет все грустно

Цитата:

Насколько железный

- только если юзера себе ТОР не поставят... или создатели ТИМа не поменяют/добавят новые сервера для соединения..

Цитата:

если завтра люди не смогут в инет, почту и аську зайти

- Вы же заблокировали трафик только к серверам ТИМа и ими кроме ТИМа более никто не пользуется..
Так что не переживайте..

Цитата:

только если юзера себе ТОР не поставят

Да, уж с ним даже глобальные запреты справяца не могут...
Хотя иногда сам им пользуюсь, бывает полезен)
Спасибо огроменское, igrmik, за помощь в решении проблемы, Вы очень помогли!!!
Поглядим, как хитросделанный менеджер отреагирует)

Цитата:

igrmik

Чьерт побери, чето сеня заглючило правило, перестало людей пускать в инет и почту принимать... Пока не вырубил правило, не заработало((
А так все хорошо было! Практически весь день все замечательно бегало и тут вон оно как
Сейчас правило снова запустил - все работает, ходит. Единственно, internal убрал из TO, а вместо него добавил свой комп - посмотрим, что будет

ph5
Чтобы видеть и понять в чем проблема, надо видеть настройки Вашей ИСы. Что естественно не возможно. А правило, которое отфильтровывало трафик к серверам ТИМа совершенно не причем.

igrmik
Возможно, мое новое правило по запрету TV как то пересекается с другими правилами... Хотя там никаких особо хитрых правил и нет у меня. А пока подключил вместо internal мой комп и комп нужного человечка - вроде как зависонов почты и нета нет. Теперь значит ждать ,как дальше сложица ситуация

Стоит SBS 2003 + ISA 2004.
Только что решил проблему с vk.com и одноклассниками так:
1. Внёс правки в hosts на сервере (127.0.0.1 vk.com, ....)
2. Создал 2 dns зоны vk.com и odnoklassniki.ru. Создал по 2 хоста (без www и c www) с 127.0.0.1
Всё.
Грубо, но сработало. URL и DNS фильтры только на facebook.com реагировали.

Если есть другое решение через ISA 2004 без дополнительного платного ПО, поделитесь информацией, плз.

Andryuha
То что вы сделали, это вообще не панацея. Это так себе для галочки, что вы что-то сделали.


Добавлено:
Если кто другой не выложит, я завтра часиков в 13 по Москве выложу

igrmik
Ок, буду ждать.
Делал минут за 10 до моего поста, в это время уже особо и не думается )

Ваш способ решения не позволит никому в сети открыть выше перечисленные сайты, в том числе и вам. Да и редактирование DNS зон не нужное и не правильное дело.
Все надо делать только на ИСе, где можно наклепать разных правил, для разных ситуаций и разных групп пользователей. И например разрешать юзерам пользоваться соцсетями в не рабочее время.
Просто заблокировать DNS соцсетей не решает проблему, .к. некоторые юзеры после закрытия им соц.сетей, начинают активно искать в поисковиках решение данной проблемы и находят их ИП адреса или анонимайзеры предоставляемые разными сервисами, таким как http://nezayti.ru/.

Я у себя сделал так.
На ИСЕ в Network Objects создал Domain Name Set - со следующим содержимым
[more=список соц.сетей]*.academia.edu
academia.edu
*.badoo.com
badoo.com
*.bebo.com
bebo.com
*.copainsdavant.linternaute.com
copainsdavant.linternaute.com
*.douban.com
douban.com
*.facebook.com
facebook.com
*.facebook.fr
facebook.fr
*.flixster.com
flixster.com
*.friendster.com
friendster.com
*.identi.ca
identi.ca
*.linkedin.com
linkedin.com
*.linkedin.fr
linkedin.fr
*.meinvz.net
meinvz.net
*.myspace.com
myspace.com
*.orkut.com
orkut.com
*.orkut.li
orkut.li
*.plus.google.com
plus.google.com
*.qzone.qq.com
qzone.qq.com
*.schuelervz.net
schuelervz.net
*.studivz.net
studivz.net
*.tuenti.com
tuenti.com
*.twikeo.com
twikeo.com
*.twitter.com
twitter.com
*.vkontakte.ru
vkontakte.ru
*.wer-kennt-wen.de
wer-kennt-wen.de
odnoklassniki.ru
odnoklassniki.ua
*.odnoklassniki.ua
*.odnoklassniki.ru
vk.com
*.vk.com
antares.relax.ru
webim.qip.ru
*.relax.ru
icqdostup.ru
*.icqdostup.ru
*.idigo.org
idigo.org
*.vkontaktno.ru
vkontaktno.ru
nezayti.ru
*.nezayti.ru
vseobritvah.ru
*.vseobritvah.ru
vkontaktus.ru
nevtakt.ru
vkontapke.ru
vkooontakte.ru
voffe.ru
hunthead.ru
navalivay.ru
vkontakteda.ru
vkontaktui.ru
golosuysuy.ru
nabanke.ru
prolezu.ru
vkkv.ru
NetBana.ru
vkontaktno.ru
*.vkontaktus.ru
*.nevtakt.ru
*.vkontapke.ru
*.vkooontakte.ru
*.voffe.ru
*.hunthead.ru
*.navalivay.ru
*.vkontakteda.ru
*.vkontaktui.ru
*.golosuysuy.ru
*.nabanke.ru
*.prolezu.ru
*.vkkv.ru
*.NetBana.ru
*.vkontaktno.rua[/more]
В основном правиле, там где вы разрешаете НТТП доступ всем ко всему интернету, нажимаете правую кнопку мыши и выбираете Configure HTTP и
вкладка Signatures и создаете там такие правила
[more=картинки] [/more]
После чего для тех лиц, к которым вы примените такую политику доступ к соцсетям будет закрыт.
Ну и не мешало бы подобные мероприятия подкреплять официально, т.е приказом по организации.

igrmik

Цитата:

В основном правиле, там где вы разрешаете НТТП доступ всем ко всему интернету, нажимаете правую кнопку мыши и выбираете Configure HTTP и
вкладка Signatures и создаете там такие правила

Не нашёл в ISA 2004 такого


Добавлено:
igrmik
Вроде, прокатило только с Domain Name Set из Вашего списка.
Спасибо !
Если кому нужен, могу в формате xml для импорта в ISA кинуть.

Andryuha
Если у вас SBS и все настройки ИСЫ ставили не вручную, то оно называется SBS HTTP Allow
xml практически у каждого свой, могу скинуть скрипт который обрабатывает текстовый файл и загоняет его в новй DNS в ИСЕ

igrmik
Это делалось так давно, что могли и поменять дефолтные настройки.
Этого правила точно нет.
Скрипт пригодится, спасибо.

Andryuha
тогда любое правило где разрешен HTTP трафик

igrmik
Нет там такой возможности
Похоже, где-то поломалось.
HTTP фильтр включен, но в правилах я не могу его настраивать.
Только FTP и RPC.