» Microsoft ISA Server 2006/2004/2000 & TMG/UAG (Часть 4)

BULLDOG
hardhearted
суммируя вышесказанное могу сделать вывод, что при такой конфигурации можно разделить задачи которые будет выполнять аппаратный фаер и программый? или полностью разделить не получится, т.е. трафик будет проходить одни и теже проверки на обоих фаерах? скажется ли это на производительности?

Tim2000
и не должно быть никого
должен быть маршрут в 0,0,0,0 0,0,0,0

davinchi9
Разделять можно как угодно, для кого-то шлюзом указать аппарат, а для кого-то ИСУ. Скорость передачи пакетов, естественно, снизится, но вот скорость открытия веб-страниц увеличится за счет кэширования. Да незаметно ничего будет, если компьютер под ИСУ нормальный выделить.

davinchi9
вообще обычно аппаратную железку ставят не как фаер а как роутер с функцией минимального файрвола, ибо иса роутером не является вообще, а винда как роутер примитивна до ужаса, в то же время роутеры типа циско умеют очень многое. кстати говоря те же циско раньше разделяла железки на роутеры и фаеры.
а смысл двойного фаера чаще всего один: внешний фильтрует трафик идущий снаружи, а внутренний фильтрует то что идет изнутри наружу (ограничивать юзеров и т.д.), между ними чаще всего находится DMZ.
по скорости тяжело что либо сказать, зависит от железа, настроек и нагрузки: чем больше правил фильтрации и самих фильтров тем сильнее требуется железка.

BULLDOG
hardhearted
огромное спасибо за разъяснения!

Подскажите, на сервере W2003 установлена ISA2004, вопрос - повлияет ли как то на работу ISA поднятие (или удаление) роли сервера как сервера приложений?

Если на ИСЕ используется кеширование имеет ли смысл использовать временные файлы интернета на клиенте ил иих можно совсем отключить, т.к. заметил что всякая зараза только там и скапливается?

hardhearted

Цитата:

и не должно быть никого
должен быть маршрут в 0,0,0,0 0,0,0,0

есть такой!
выявил особенность появления ошибок - у меня инет переподключается каждые 2 часа, вот именно в момент переподключения, т.е. отсутствия инета, появляются эти ошибки..
что делать ума не прилажу(((

Tim2000
теряется линк? или ипшний получаешь от провайдера динамически? тогда это нормально, в этот момент винда теряет линк или адрес, и соответственно шлюз по умолчанию, вот иса и ругается

Привет всем! Народ, модераторы, не ругайте, если подобная тема уже поднималась. Просто времени мало, чтобы перелопачивать топики, и не уверен, что найду.
Ситуация. Имеем ISA Server 2004 Std и двух ISP. Доступ некоторых компьютеров ко "второму" Интернету организован через шлюз ZyWall, который имееет внутренний ip (192.168.33.116) из той же подсети, что и внутр. интерфейс ISA (192.168.33.5). Шлюз для этих компов назначается DHCP-сервером. При включенном клиенте брандмауэра (служба firewall client agent) на машине инет идет через ISA (это "первый" интернет), что не есть гуд, при выключенном - через ZyWall, но при этом, очевидно, весь биллинг, построенный на ISA, летит к черту.
Так вот ВОПРОС: возможно ли при включенном клиенте ISA Server выходить в инет через второй шлюз. В книге Шиндера ничего такого не нашел, Гуглом пока тоже.
P.S. Включенный агент нужен, сами понимаете, для того, чтобы работали правила ISA, и учет трафа вести.

davinchi9
не путай кеширование и временные файлы, разные вещи, лучше оставить и то и то
NetFisher
на работу исы врядли повлияет, а вот иса на новый сервис еще как повлияет. на нее не рекомендуется стваить контроллер, ексчендж, и крайне не рекомендуется ставить сервер терминалов и т.д.
и вообще на нее ничего лучше не ставить

Добавлено:
IlyaSwan
ты сам то понял что написал? как иса будет учитывать трафик клиентов которые должны ходить не через ису?
ты знаешь что такое FWC и для чего он нужен?

hardhearted
тут дело то в другом, ошибки идут на 2 ника - In и Out
In смотрит внутрь - сеть 10,10,10,0
Out смотрит наружу на прова - сеть 192,168,1,0 (мой адрес 192,168,1,31 статический)
Инет получаю по ВПН.
я и понять не могу почему иса ругается на какие-то непонятные вообще сети..

hardhearted

Цитата:

ты знаешь что такое FWC и для чего он нужен?

Цитата (с.344 последний абзац книги Шиндеров по ISA 2004):
"...Клиент брандмауэра настраивается с именем или IP-адресом брандмауэра ISA. Программное обеспечение клиента брандмауэра перехватывает все TCP- и UDP-соединения, выполняемые приложениями Winsock, с компьютером клиента брандмауэра и отправляет их напрямую на IP-адрес приемника клиента брандмауэра на интерфейсе брандмауэра ISA, т. е. в той же сети, в которой находится компьютер клиента брандмауэра".
Я в ИСЕ не очень силен, но предполагал наличие каких-либо недокум возможностей, хитростей, почему на форум и обратился.
Т.е. считаешь, что в принципе так сделать невозможно, как я писал выше.

Tim2000да почему же непонятные то, вполне понятные и определенные сети, они определены в external
IlyaSwan
правильно, fwc килдает трафик на ису а иса дальше, тебе как раз эт оне нужно, тебе нужно чтобы трафик шел на зивол, поэтому fwc тебе на этих компах не нужен

hardhearted

Цитата:

не путай кеширование и временные файлы, разные вещи, лучше оставить и то и то

временные файлы интернета тот же кеш, только объекты в нем храятся в открытом виде, дольше и для каждого пользователя отдельно и локально на компе, поэтому не стоит их отключать?

Что я неправильно делаю для открытия портов???
Получил в наследство ISA 2004. Все настроено, больше года без вопросов проработал. Понадобилось настроить бухгалтеру новый банк-клиент Промсвязьбанка. Для него нужно открыть 80, 9080 и 9443 порты. Запускаю ISA Managment.
Policy Elements -> Protocol Definition -> Создать -> Definition... -> и определяю 9080, 9443 протоколы на вход и выход и 80 - на вход (80 на выход уже определен)
Access Polity -> Protocol Rules -> и в правиле для всех пользователей ставлю галки напротив новых протоколов.
Захожу на сайт банка http://filials.payment.ru/?enter , устанавливается Java, запускаю Получение сертификата - и процесс остается в состоянии моргающего зеленого глаза и надписи "Получение списка филиалов".
Техподдержка банка - "По вопросам настройки корпоративных прокси не консультируем. Моргающий зеленый глаз - это у вас не открыт 9080 порт" Пробую сделать то же под доменным администратором, которому в ISA открыт весь трафик. Результат тот же.
Подключаю комп напрямую к Инету - все естественно работает.
Быстро ответ найти в Инете не смог, а читать Шиндера я уже пробовал. Это на долго.
Помогите пожалуйста запустить этого ... Банк-Клиента через ISA!!!

eap
А если для _http://filials.payment.ru/?enter этого сайта по нужным портам создать правило без аутентификации, для All users? И вопрос, Firewall клиенты стоят?

Клиенты стоят. Без включенного клиента внешнюю почту Аутлук забрать не может
Да я черта лысого готов создать, лишь бы работало. Я не знаю, как

У меня под таким правилом банк-клиенты работают. Правда без фаервол клиентов. Попробуй на одном компе снести и по такому правилу пустить.

Цитата:

У меня под таким правилом банк-клиенты работают. Правда без фаервол клиентов. Попробуй на одном компе снести и по такому правилу пустить.

Под каким правилом? Как его создать?
У меня, оказывается, 2000 ISA!!!

eap
На скриншоте же правило. Make New Rule вроде. а вообще RTFM

Ээээ... уважаемые сорри за оффтопик, но не первый раз слышу про книгу Шиндера по ISA'04, может кто поделиться ею в каком нибудь удобоваримом варианте (word, приличный pdf??).

А то я все ису мучаю методом научно технического тыка.

Заранее спасибо.

hardhearted

Цитата:

Tim2000да почему же непонятные то, вполне понятные и определенные сети, они определены в external

а почему иса то на них начала ругаться, и именно тогда, когда инета нет??...((((((((

lypky
смотри под # там ссылки
гугл рулит

Вопрос по-прежнему актуален
Что я неправильно делаю для открытия портов???
Получил в наследство ISA 2000. Все настроено, больше года без вопросов проработал. Понадобилось настроить бухгалтеру новый банк-клиент Промсвязьбанка. Для него нужно открыть 80, 9080 и 9443 порты. Запускаю ISA Managment.
Policy Elements -> Protocol Definition -> Создать -> Definition... -> и определяю 9080, 9443 протоколы на вход и выход и 80 - на вход (80 на выход уже определен)
Access Polity -> Protocol Rules -> и в правиле для всех пользователей ставлю галки напротив новых протоколов.
Захожу на сайт банка http://filials.payment.ru/?enter , устанавливается Java, запускаю Получение сертификата - и процесс остается в состоянии моргающего зеленого глаза и надписи "Получение списка филиалов".
Техподдержка банка - "По вопросам настройки корпоративных прокси не консультируем. Моргающий зеленый глаз - это у вас не открыт 9080 порт" Пробую сделать то же под доменным администратором, которому в ISA открыт весь трафик. Результат тот же.
Подключаю комп напрямую к Инету - все естественно работает.
Быстро ответ найти в Инете не смог, а читать Шиндера я уже пробовал. Это на долго.
Помогите пожалуйста запустить этого ... Банк-Клиента через ISA!!!
fl1pp3r
За полтора года возник первый вопрос. Про чтение Шиндера я уже писал.
Потому и обратился за помощью.

eap
Напишу как создается в 2004й исе. Не думаю, что сильно отличается.
Create New Access Rule
Обзываем правило
Allow
Затем выбираем протоколы/порты
в Sources выбираем Internal, ну или отдельные машины
в Destinations Выбираем external, или http://filials.payment.ru/?enter
Аутентификацию выбираем All Authenticated Users, если не заработает All users
Жмем Finish, проверяем. Если по прежнему не работает пробуем поднять правило выше.

Tim2000
я же кажется уже обьяснил - у тебя теряется линк или настройки ип, в этот момент у винды нет шлюза по умолчанию, и иса не может связать external и таблицу маршрутизации, вот и ругается. короче это нормальное явление для переходных процессов, а переподключение, отключение, перенастройка это есть переходные процессы

fl1pp3r Спасибо за советы, но все равно не работает. Таймаут до понедельника.

eap
Попробуй снести на одном из компьютеров фаервол клиента и пустить его по этому правилу

Сносить не обязательно. Его можно просто Вкл/Выкл (Энэйбл/Дисэйбл). Или убрать из Автозагрузки и перегрузить. Уже пробовал, естественно.