» Microsoft ISA Server 2006/2004/2000 & TMG/UAG (Часть 4)

может кто сталкивался, на tmg настроено правило разрешить все исходящие протоколы для моего компа в интернет. У меня все работает нормально. Недавно добавил еще одного пользователя в это правило у него работает но есть один плейлист он не работает. Адрес такой http://pub5.di.fm:80/di_vocaltrance?3f68551a0fddbbb651 У меня нормально загружается в winampe и aimp. У него нет. Настроил логи и отчеты на этот адрес, выходит там такая ошибка Status: 10053 An established connection was aborted by the software in your host machine.
host machine это мой tmg или его комп? Почему может не ходить по тому адресу?

Цитата:

де в настройках программы можно менять Вид окна, котырый тмг выводит , например пользователю, при его входе на запрещенный ресурс?

В запрещающем правиле, вместо "запретить" выбери "перенаправить" и укажи адрес страницы в виде http://займись_работой.com
Страничку эту создай сам. Можешь разместить на ней фото злого начальника.

Paromshick ,dianaa76 Спасибо-помогло. С nis разобрался, у них действительно 17,36 крайняя, malware inspection постоянно обновляется . Столкнулся еще с одной проблемой. Задача- разрешить на клиентских машинах клиент квип. Версия тмг- sp2 (500). В сети используется только sNAT+Fclient. прокси отключено. Не удается залогиниться в системе icq. Правило есть, квип лезет на login.icq.com:5190. На клиентских машинах интернет работает, установлен фклиент тмг. Настройки файрволклиента в тмг по дефолту Сеть 192.168.10.0/24 , ip шлюза 10.254 Вот скрин правил и лога:

ambal2007

Не понятно какая аутентификация у Вас используется, но попробую предположить: пропишите в свойствах FWC (в TMG) имя своего icq клиента.

anton04 Не понял Вас про аутентификацию, где можно посмотреть? Вот прописал в настройках FWC qip по аналогии с icq


- в логах такая же песня.

ambal2007


Цитата:

Не понял Вас про аутентификацию, где можно посмотреть?

Здрасьте приехали, а это что:


Цитата:

В сети используется только sNAT+Fclient

Дык какая конкретно на данном клиенте используется аутентификация? SNAT, FWC или Web proxy?


Цитата:

Вот прописал в настройках FWC qip по аналогии с icq

Там нужно было прописать "Disable" или "Enable" (по аналогии с outlook)

ambal2007
Сперва нужно создать правило разрешающее протокол icq. За тем на клиенте icq указать прокси и логин/пароль.

anton04 Про аутентификацию усомнился, так как я ее в начале указал, потом Вы снова спросили, что ввело в заблуждение меня. На клиентах стоит и sNAT и FWC. Веб-прокси на тмг отключено. Добавил параметр "disable" со значением "0" не помогло. Ставлю qip только на клиент, настроенный как sNAT такая же песня. Либо где только FWC, меняя сооотв. правила. Вообщем по теории, все настраивается как приведено выше. походу у меня тмг глючит, стоит в hyper-v. У меня была уже проблема, когда клиенты не могли заходить на страницы в интернете, хотя весь трафик был разрешен, но тмг не пускал. Решилось перестановкой тмг с аналогичными правилами.
SergeyMark
Веб-прокси отключено. ( да и с ним не пускало)

ambal2007


Цитата:

Про аутентификацию усомнился, так как я ее в начале указал

Вы указали типы аутентификации которые у Вас в принципе есть, а я спросил про аутентификацию которую использует конкретные клиент.


Цитата:

На клиентах стоит и sNAT и FWC

Так... понятно, что такое типы клиентов isa server мы плаваем, печально...
покажите правило по которому Вы выпускаете свой квип.


Цитата:

Добавил параметр "disable" со значением "0" не помогло.

а надо было "1" по аналогии это не значит аналогично. хотя бы ознакомились с внутренним хелпом по этому поводу, не уж то так трудно в окне нажать "F1"!?

Disable=0 отключает FWC для указанного приложения. Т.е.приложение выполняет соединения TCP/IP как клиент SecureNAT, как будто FWC вовсе не установлен на этом компьютере.


Цитата:

Вообщем по теории, все настраивается как приведено выше. походу у меня тмг глючит, стоит в hyper-v. У меня была уже проблема, когда клиенты не могли заходить на страницы в интернете, хотя весь трафик был разрешен, но тмг не пускал.

Версия TMG? какой SP стоит? какие hotfix`ы?

Извините господа хорошие, не подскажите мне,
есть ли для TMG 2010 какое-то решение, чтобы наблюдать в реальном времени скорость upload и download подключенных клиентов, чтобы можно было понимать кто злоупотребляет трафиком и нагружает сильно канал...

Bandwidth Splitter предложили, но это дополнение не бесплатное и на мой взгляд дороговатое... Мне необходимо контролировать всю сеть класса C и получается примерно 250 клиентов как минимум надо отследить...

Извините если не в тему..

anton04 Не хочу, чтобы решение моей проблемы выходило на выяснение кто что сказал и тд))) Вы явно разбираетесь больше. Все же. Про клиентов : описанная схема , совпадает в моем случае с тем, что установлено на каждом клиенте. На клиентах используется и sNAT (ip тмг указывается шлюзом) и FWC. Насколько правильно совместное использование - не знаю. Правило квипа указано на прошлой странице, там же скрин. Про disable , да, Вы правы, стоило изучить справку. Хотя удаление FWC с машины, и редкатирование правила под sNAT не помогло. ТМГ СП2 ( 7.0.9193.500) Standart RU

AndersonGH

Полностью бесплатных продуктов такого рода на рынке я не то что не знаю, а даже не слышал за все девять лет использования исы.
У Bandwidth Splitter бесплатно до 10 клиентов у RestraiNET до 15 клиентов (хотя она создавалась когда-то именно как бесплатная альтернатива всего платного засилья, может где на просторах и завалялась старая версия).

ambal2007


Цитата:

Насколько правильно совместное использование - не знаю.

Ну так узнайте! Каждый решает сам за себя в зависимости от поставленной задачи. нужны анонимусы!? тогда используется SNAT (обычно SNAT используется только для конкретных серверов которые выполняют определённые роли). Не нужны анонимусы, тогда FWC и Web клиенты Вам в руки.


Цитата:

Правило квипа указано на прошлой странице, там же скрин.

Не увидел столько не искал.


Цитата:

Про клиентов : описанная схема , совпадает в моем случае с тем, что установлено на каждом клиенте. На клиентах используется и sNAT (ip тмг указывается шлюзом) и FWC.

Совсем не понятно, ещё раз если вы всё же поленились прочитать про типы клиентов исы. Если у Вас есть правило где указанно IP машины значит клиент ходит в интернет как SNAT клиент. Если в правиле указанно имя пользователя значит клиент ходит в интернет как FWC (при установленном программе FWC). Это конечно очень упрощённо, но верно.
Хотите чтобы разобрались с Вашей проблемой? Значит отвечайте как можно полнее на вопросы и делайте что Вам предлагают.

1. Скриншот правил всех.
2. Скриншот закладок правил где у Вас прописан выход в интернет с конкретного ПК (локализуйте проблему возмите для примера только один ПК).
3. Нарисуйте схему локальной сети (что бы представить как у Вас, например, обрабатывается DNS запрос).
4. Укажите полный список установленных hotfix`сов для TMG.

P.S. Без запрошенной информации дальнейший ликбез бессмыслен. В этом случае потрепать языком можно и во фрейме...

Перед установкой TMG 2010 стоит MS Sql 2008 R2 Enterprise.
Возможно поставить TMG без установки "его" MS Sql Express и автоматически или "в ручную" все базы "запихать" в имеющийся instance установленной Sql ?
Не только логи, а все.

Vxd2000
Нет. TMGшный сиквел это его священная корова. Иначе - дыра в безопасности того, кто отвечает за безопасность.
Там и ключ продукта, блин, не поменяешь без переустановки продукта. Мелькал какой-то джава скрипт, но что-то у меня не пошло, может руки

Paromshick, можеш дать ссылку ?
Нашел вот такое вот, но это не совсем то: Cсылка1 либо Ссылка2

Vxd2000
Ссылку на что? Я несколько не понял вопроса. Если на то, что "это невозможно", так она есть в твоей второй ссылке. Тавтология, ссылка в ссылке... И как и автор статьи, я тоже не согласен. Только пошел бы другим путем (правда, идущим себя по этому пути мне сложно представить, не люблю уродовать продукты), я бы вначале поставил TMG, а потом полноценный SQL. Все глюки решились бы. Через год
Если про первую, то да, логи штатно пишутся на любой в тч. и сторонний SQL. Неплохо описано, как это делается.
Задача же была "похитить" хранилище настроек... ИМХО нереально. TMG не любит даже безобидных вмешательств, как-то например изменить политику доступа не в его оснастке, а в оснастке NPS сервера. Хоть он сам и юзает NPS по полной, роль устанавливается перед установкой непосредственно TMG. А тут хранилище переместить... Как он может доверять постороннему хранилищу, где неизвестно кто и неизвестно какие записи вносит.

Добавлено:
Вопрос такой, зачем учить корову летать? Да и если научишь, то далеко ли она полетит и как долго. И главное, при продакшн среде. На чью голову будут падать плюхи? Это ж не эксперимент из серии, а может туда лом засунуть.

Paromshick, по ссылкам, частично возможно. И разместил их, чтобы и другие посмотрели.
Насчет хранилища: "грохнул" вообще базу, но пока TMG вроде работет (менял правила - применяются) .

На счет последовательности установки: уже был такой вариант, буду пробовать.
На счет уродования: смотря что называть "уродованием" , мое мнение - что в таком виде (использование только "своего" Sql - это уродование) .
Это, из серии поставить Lync на DC, но ставится (правда в "полуавтоматическом" режиме) и работает и неплохо работает, другой вопрос, что не рекомендуется, но это другой вопрос.
" Как он может доверять постороннему хранилищу, где неизвестно кто и неизвестно какие записи вносит. " - ну по моему мнению, это на мой взгляд сильно глубокое копание и "там" пустота (то есть не настолько это доверенное хранилище, как показывала практика "общения" с ПО MS, там не все так доверено, но это мое мнение) .
Ну а на счет нереально. еще раз: поставил TMG (ну там с "его" Sql) , потом "грохнул" 3 базы: msfw, ...isa и reports) . Ругается, но работает.
Вот вопрос в том, как снова "сделать" базы в Enterprise версии, то есть, есть какие-то скрипты для этого ?

И, как в TMG 2010 (поставил его недавно) поменять системную политику (или отключить пункт) , именно 54 пункт или переопределить отправителя/получателя ?

Vxd2000
Эх-эх-эх... Ругается, но пока работает. Теперь представим, что через gateway идут заказы на миллионы, а он поругался поругался, да и перестал работать. Простой. Убытки. Кто-то уволен.
MS не может позволить себе таскаться по судам с упущенной прибылью заказчика. Потому и пишет, что это невозможно.
Можешь реализовать, только в случае простоя, на вендора уже не сошлешься.


Цитата:

И, как в TMG 2010 (поставил его недавно) поменять системную политику (или отключить пункт) , именно 54 пункт или переопределить отправителя/получателя ?

Правый клик на правиле -- изменить системную политику. ИМХО, ты не знаешь продукт, отсюда такая легкость в суждениях. Если знаешь, то должен знать, что системная политика, это политика применяемая к трафику всегда от, либо к localhost. Для трафика иных направлений есть политики межсетевого экрана.

Paromshick, ты не прав трижды (не в обиду) :
1. "Теперь представим, что через gateway идут заказы на миллионы, а он поругался поругался, да и перестал работать" - для такого случая ставится не "игрушечное" ПО MS, которое не может "воевать" , то бишь работать, когда нет тепличных условий, а *nix и соответствующее ПО (например linux и iptables) ;
2. "ты не знаешь продукт, отсюда такая легкость в суждениях" - именно TMG 2010 не ставил, но начиная с Isa2000 "пользовал" , принцип - один; даже писал (на форумах и в MS) , что в Isa2000 не было объекта localhost' a а это в корне не верно (надо иногда защищать "сервер" и изнутри) ;
3. "Правый клик на правиле -- изменить системную политику" - это первое, что сделал, и "получил" только возможность изменить "Откуда" и "Исключения" , а мне надо как миниму или удалить ее или выключить, а лучше редактировать и как пользовательскую;
И насчет всегда, вот мне надо "блокировать" компьютер "за" TMG по NetBios портам/протоколам (к коим относится и 445 порт) и как это сделать, если эти поитики применяются всегда (правило из внутренней сети к TMG компьютеру) , ну не хочу никого пускать туда по таким протоколам.

Отключил эту политику, но траффик пропускается, который не должен.
Блин, действует другое правило. не иначе,буду смотреть дальше.
В не системных правилах стоит только запрещающее.

Кстати, почему MS решил за меня, какие правила должны применяться всегда.
Это риторический вопрос. Это по моему мнению не правильно.
Аналогично, почему ограничили СУБД именно TMG' шной.
Чтобы БД была "доверенной" сам TMG может при установке проверить, что стоит уже MS Sql и создать там свою доверенную базу сам.

Vxd2000
Зато ты прав. Могу одну ссылку предложить http://hh.ru/ там можно указать как умеем правильно настраивать игрушечное ПО.
Всего наилучшего

Написал, не в обиду же. )
Не совсем понял на счет ссылки, это поискать кого-то там мне или "предложить" там себя ? )
Да, первое не надо.
Просто, только сегодня поставил TMG, предположил. вдруг чего-то там изменилось (в том месте, где не менялось давно и сильно) и вдруг не туда нажимал. )

Но ничего не изменилось. ))
даже писал (на форумах и в MS) , что в Isa2000 не было объекта localhost' a а это в корне не верно (надо иногда защищать "сервер" и изнутри) ;

Спасибо, за подсказки.
P. S.: Не хотел обидеть, правда.

А если надо "вещи" с неприлично большим up-time' ом (в части шлюза/nat/router/firewall) и причем с малобюджетным оборудованием (относительно MS "запросов" ) ,обращайся через PM, проконсультирую и бесплатно (на всех критически важных направлениях стоит связка, описанная выше, не утверждаю. что она надежнее и/или лучше, но up-time меня изначально подкупил) . А TMG будет стоять как раз на "той связкой" , то есть "внутри" уже защищенной сети.

Добавлено:
Вообщем, TMG без Sql работает !
Сейчас нет вообще Sql как класса.
То есть TMG запускается, правила обрабатываются.

Vxd2000
ага, тмг без скуля вполне работает, но не устанавливается без него.. т.е. можно поставить, потом отключить логирование в скуль (либо совсем отключить, либо логировать в файлы), потом отвязать сервис тмг от сервиса скуля (можно через реестр), потом спокойно удалить скуль.

кстати уже апдейт5 есть ко второму сервиспаку

fly_indiz, про отключение через реестр можно поподробнее ?

Все.
У меня работает Tmg с SQl 2008 R2 Enterprise.
Кому надо, проконсультирую.

И, повторный вопрос (на середине "темы" , где-то на 70-80 странице его уже задавал, оказывается) .
Есть Tmg 2010 на Win 2008 R2.
Блокируются входящие c Internal на LocalHost по сетевому broadcast (например 192.168.0.255) и по общему broadcast (то есть 255.255.255.255) , хотя есть правило Internal-> LocalHost: разрешено Все.
Где и/или как включить поддержку broadcast ?
Как минимум для NetBios' a и Dhcp.
Или, все таки он пропускает, но Logg' ирует только ?

Всем привет.
Помогите решить проблему. Развернул VPN на TMG. Прописал правила. При подключении второго клиента из одной и той же сети с разными аккаунтами выдает ошибку 721. Первый клиент подключается без проблем. Кто сталкивался с такой проблемой? Помогите решить?

Привет. Есть ли какая - нибудь сторонняя надстройка к тмг, которая содержит постоянно пополняющийся список сайтов по категориям для их блокировке на тмг, или в самой надстройке? Встроенное решение от MS стоит не мало. Спасибо

На компьютере с Tmg 2010, работает "Сетевое окружение" , то есть видны групп сети ?
При отсутствии Wins.
И "видится" этот компьютер на других ?

ambal2007
Лучше использовать встроенное решение!
Надстройки над ISA/TMG не блещут своей адекватностью....

Встроенное средство можно отучить от жадности.. причем оч просто...

Vxd2000

Цитата:

На компьютере с Tmg 2010, работает "Сетевое окружение" , то есть видны групп сети ?

По умолчанию нет, но можно настроить.

Цитата:

И "видится" этот компьютер на других ?

Нет и не должен. И пинги должен "убивать". Только администратор должен знать о его существовании.

Ребят столкнулся с проблемой, на одной машине поднят АД, на второй машине резервный контроллер АД и ИСа 2006. Создаю нового пользователя, добавляю его в иса к работающим правилам а у меня он отображается как S-1-5-21-1234521514

kot488

Повторюсь, ставить контроллер домена на ису это полнейшая глупость...

А так проверяйте системные правила на исе, ведать у Вас не синхронизируется контроллеры домена между собой.