Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Microsoft ISA Server 2006/2004/2000 (Часть III)

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

emx (13-07-2008 10:54): Microsoft ISA Server 2006/2004/2000 (Часть 4)  Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102

   

emx



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
<<< Предыдущая часть этой темы

  • Microsoft Internet Security & Acceleration Server - сайт производителя

  • - необходимо посетить, начиная работу с ISA Server

  • IsaDocs.Ru - переведенные статьи с

  • IsaServer.Ru - форумы, статьи, решения

  • ISA на iXBT - Хобот, наш конкурент

  • Коллекция ссылок на статьи
     

    продолжение шапки..

  • Всего записей: 11860 | Зарегистр. 05-06-2002 | Отправлено: 19:03 10-03-2007 | Исправлено: Out, 23:44 03-05-2007
    andrey99999

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    hardhearted
    Не тебе решать умные или глупые вопросы. Если спрашиваю значит не нашел.

    Всего записей: 34 | Зарегистр. 14-01-2007 | Отправлено: 21:53 13-02-2008
    hardhearted



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    andrey99999
    умный вопрос или глупый решать право каждого. требования к системе существуют практически для всех продуктов, и обычно это первое что читают люди прежде чем что то использовать. не найти эту инфу на сайте производителя практически нереально

    Всего записей: 1272 | Зарегистр. 23-10-2004 | Отправлено: 22:39 13-02-2008
    igolovin



    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Подскажите, пожалуйста, как в ISA 2004 забанить внешний IP-шник, т.е. чтобы любые пакеты от него дропались. Все перерыл в настройках...

    Всего записей: 41 | Зарегистр. 28-10-2004 | Отправлено: 14:37 14-02-2008
    hardhearted



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    igolovin
    все что касается разрешения и запрета трафика находится в firewall policy. там создается правило с параметрами кто, откуда куда и по какому протоколу и что нужн ос этим делать, запрещать или разрешать.
    обычно если ты не разрешал что то, то по умолчанию это запрещено, так что если этому внешнему ип ты в других правилах ничего не разрешил то пакеты от него и так запрещаются.

    Всего записей: 1272 | Зарегистр. 23-10-2004 | Отправлено: 18:20 14-02-2008
    SUKHOFF

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    igolovin  

    кроме того запрещающее правило для конкретного внешнего IP в firewall policy должно стоять ДО правил, разрешающих внешние IP в целом

    Всего записей: 42 | Зарегистр. 26-12-2005 | Отправлено: 09:11 15-02-2008
    alex779



    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    sarti
    После деинсталляции тулкита фильтр также не запустился. Логи  не смотрел, не было времени, но всё восстановил достаточно быстро

    Всего записей: 229 | Зарегистр. 10-11-2004 | Отправлено: 12:57 15-02-2008
    igolovin



    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Я знаю, что по умолчанию все выключено. Но он, гад, сканирует порты. Раздражает это... Как его отрубить-то? Если я создаю правило, то там присутствует только исходящий трафик или конкретные порты. Насчет входящего трафика, я так понимаю, отвечает "Публикация". И там присутствуют только определенные порты, а не весь трафик (от конкретного IP). А я хочу этому внешнему IP запретить ЛЮБОЙ трафик на мой ISA (т.е. дропать ВСЕ пакеты от него). Неужели в ISA этого нет. Это-же должно быть по определению!!! Спецы, братцы, помогите - подскажите.

    Всего записей: 41 | Зарегистр. 28-10-2004 | Отправлено: 19:42 16-02-2008
    hardhearted



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    igolovin
    по определению, ничего не должно быть, сначала открой книгу и внимательно разберись что означает направление в протоколах, это не совсем то что ты думаешь, исходящий (outbound) это всегда по отношению к клиенты, то есть где бы клиент не был, внутри, снаружи, на самой исе, если это не публикацию то трафик от него всегда outbound. inbound - только для публикации.
    во вторых если ты ему ничего не разрешал то иса его и так дропает, даже если он сканирует порты это не значит что ему трафик разрешен, да сканирует, ломится на все порты подряд и на всех ему дают запрет. ломиться ты никому, никогда, ничем не запретишь, главное чтобы он не прошел.
     
    Добавлено:
    ты кстати проверял что это за ип, может он и не виноват вовсе, иса может показывать скан портов когда его на самом деле не было. я сам сталкивался, у меня снаружи ису прикрывала циска которая натила, и поэтому влезть внутрь циски и просканить ису было совсем никак, а иса все равно показывала будто есть скан. такое бывает, на офсайте есть статья с обьяснением

    Всего записей: 1272 | Зарегистр. 23-10-2004 | Отправлено: 13:01 17-02-2008
    zhennek

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    На одном сервере установлена Isa 2006 и Exchange 2003, организован доступ из внутренней сети к Exchange через owa, согласно созданному правилу isa отправляет запросы с 80 порта на порт 8081 (установлен в IIS).
    Указываем в браузере IE адрес http://{имя сервера}/Exchange, запрашивает пароль, вводим, начинает грузить и стопориться при загрузке писем, адрес письма имеет вид http://{имя сервера}:8081/Exchange/{имя пользователя}. Opera и Firefox работают нормально, письма грузятся. Похоже проблема в IE.
    Куда копать?  

    Всего записей: 5 | Зарегистр. 28-09-2007 | Отправлено: 14:05 17-02-2008
    igolovin



    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    hardhearted
    Сканит меня "по всем портам" (так говорит ISA) anti-spam.mcafee.com... У меня на серваке стоит McAfee Virusscan 8.5 Enterprice + AntiSpam и GroupShield 7 для Exchange 2003. Может это GroupShield'овские приколы?...
     
    PS  Подскажите, где почитать как осуществляется сканирование (описание на низком уровне. Не нужно описывать суть).
     
    Добавлено:
    zhennek
    Если "Opera и Firefox работают нормально", то проблема, очевидно, в IE. Поставь последнюю. Может у тебя установлен высокий уровень Security в IE? Поставь в Default.

    Всего записей: 41 | Зарегистр. 28-10-2004 | Отправлено: 10:08 18-02-2008
    hardhearted



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    igolovin
    способов сканирования далеко не один, к исе этот вопрос уже не относится, это общая инфа, ищи в инете там такой дряни полно http://justfuckinggoogleit.com/

    Всего записей: 1272 | Зарегистр. 23-10-2004 | Отправлено: 13:11 18-02-2008
    Tim2000



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Друзья, объясните мне пажалста вот какую штуку - в чем различие настроек NAT и Proxy в MS ISA Server 2004? Я вот понять не могу например как у меня настроено (нат или прокси).. И какие настройки в каком из 2х случаев на клиентах делаются?.. Вообще как взглянув на настройку исы можно однозначно сказать - нат или прокси?
    Извиняюсь за такой вопрос..

    Всего записей: 860 | Зарегистр. 07-11-2006 | Отправлено: 14:05 18-02-2008
    hardhearted



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Tim2000
    да, тупее вопрос тяжело придумать
    иса может и натить и проксировать одновременно, все зависит от клиента. если клиент тупо идет на ису как на шлюз по умолчанию и на исе разрешен nat между сетями то будет nat, если не разрешен то клиент никуда не попадет, если клиентская прога, например браузер настроен на прокси, то будет прокси.

    Всего записей: 1272 | Зарегистр. 23-10-2004 | Отправлено: 16:01 18-02-2008
    zhennek

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    zhennek
     
    Newbie    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    На одном сервере установлена Isa 2006 и Exchange 2003, организован доступ из внутренней сети к Exchange через owa, согласно созданному правилу isa отправляет запросы с 80 порта на порт 8081 (установлен в IIS).  
    Указываем в браузере IE адрес http://{имя сервера}/Exchange, запрашивает пароль, вводим, начинает грузить и стопориться при загрузке писем, адрес письма имеет вид http://{имя сервера}:8081/Exchange/{имя пользователя}. Opera и Firefox работают нормально, письма грузятся. Похоже проблема в IE.  
    Куда копать?  
    Всего записей: 1 | Зарегистр. 28-09-2007 | Отправлено: 14:05 17-02-2008

     
    Выяснились следующие подробности. Opera и Firefox при обращении к exchange через owa используют только ее облегченный вариант, а IE может по разному. Если опять же в IE использовать облегченный вариант, то все проходит нормально. А если как обычно, то возникает выше обозначенная проблема.  

    Всего записей: 5 | Зарегистр. 28-09-2007 | Отправлено: 17:37 18-02-2008
    Vxd2000



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Есть двух интерфейсный сервер с Win2003, AD, DNS и Isa 2004.
     
    На обоих интерфейсах стоит "внутренний" DNS.
    На DNS включена пересылка.
     
    В Isa в системной политике DNS включено (localHost -> AllNetworks) .
     
    Нужно "раздавать" DNS во внутреннюю сеть.
     
    Что лучше для безопасности и что лучше для быстродействия (если есть какие - то различия) в данном случае:
     
    - опубликовать DNS сервер для внутренней сети и больше не создавать никаких правил доступа (будет только системное DNS и правило публикации) ;
    - не делать правило публикации, правилами доступа (не публикации) открыть доступ по DNS порту к собственно LocalHost (придется открывать inbound доступ) ?
     
    Или вообще без разницы ?
     
     
    И какую роль играет в правиле публикации "From" , "To" , это адрес самого сервера, "Networks" , откуда приходят запросы (в данном случае Internal) ?

    Всего записей: 1134 | Зарегистр. 14-11-2002 | Отправлено: 21:01 18-02-2008
    hardhearted



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Vxd2000
    ты сам то понял что написал
    что значит?

    Цитата:
    опубликовать DNS сервер для внутренней сети  

    если у тебя ad стоит на исе то разрешить dns from internal to localhost и from localhost to external
    dns прописывай только на внутреннем интерфейсе.

    Всего записей: 1272 | Зарегистр. 23-10-2004 | Отправлено: 22:57 18-02-2008
    Vxd2000



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    hardhearted ты знаешь, как не удивительно, да.
     
    Просто, уже 2 мое сообщение, насколько помню (хотя могу ошибаться) , которое мне понятно, тебе наверно не очень (первое было про те же правила публикации, только ftp, причем описанное мной, по твоим словам, не должное работать, у тебя же и работало, правда у тебя) , наверное просто надо прикладывать больше усилий, чтобы понять, что пишут, если с ходу так не понятно, если конечно есть желание это понять, или попросить что - то написать подробнее.
     
    (В третьем лице) если логика кого - то другого отличается от твоей, это не значит, что кто - то другой написал что - то не понятное, это может значить, что ты не понял написанное (еще раз не именно про тебя, а в 3 лице) .
     
    Теперь собственно по "делу" :
    в Isa есть системное правило dns (LocalHost -> AllNetworks) , то есть второе, написанное тобой условие выполняется (оно у меня включено) , теперь по поводу первого, internal -> LocalHost, это по сути правило "публикации" для Inernal конечно же, по моему, в книге Томаса Шиндерса, написано, что "публикация, это разрешение и обработка входящих запросов" , это как раз то и есть, что у тебя написано в первом условии, но, мне не совсем понятна разница между "открыть" inbound от Internal к LocalHost и правилом публикации и смущает в самом правиле собственно публикации 2 "источника" , один на закладке "From" , другой на закладке "Networks" .
     
    И про мое сообщение: во 2 пункте вопросительного моего сообщения как раз и описан "способ" с откорытием правилом доступа, именно им, не правилом публикации, доступа к серверу, но интересно, будет какая - нибудь выгода (или не выгода) от использования правила публикации, если DNS стоит c AD на сервере с Isa, а не где - нибудь в DMZ.
     
    Просто, наверное есть стереотип, или уже въелось (после западных книг) , что если публикация, то обязательно или вне (на External) или что - то связанное с DMZ.
     
    Добавлено:
    Хотя какая - то разница есть, потому что в правиле публикации используется DNS сервер протокол, не просто DNS протокол (они взаимо обратны, если здесь может применяться это слово) .
     
    Попробовал Internal -> LocalHost DNS сервер протокол, ни фига, только Internal -> LocalHost просто DNS протокол работает.

    Всего записей: 1134 | Зарегистр. 14-11-2002 | Отправлено: 01:00 19-02-2008 | Исправлено: Vxd2000, 01:08 19-02-2008
    RXLayer

    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    После перезагрузки сервера все сервисы ISA перестали стартовать. В ручную тоже не стартуют. На сервере стоит ISA 2006.
     
    The Microsoft ISA Server Control service terminated with  
    service-specific error 2147942487 (0x80070057).
     
    The Microsoft Firewall service depends on the Microsoft ISA Server  
    Control service which failed to start because of the following error:  
    The service has returned a service-specific error code.
     
    Как лечить?

    Всего записей: 1466 | Зарегистр. 09-03-2003 | Отправлено: 03:17 19-02-2008
    Tim2000



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    hardhearted
    вот а где в исе нат настраивается???
     
    Добавлено:
    а всё, нашол в Нетворк Рулез.
    Спасиба товагисч Жестокий, я так себе всё и представлял, и мои прецтавления подтвердилис

    Всего записей: 860 | Зарегистр. 07-11-2006 | Отправлено: 05:35 19-02-2008
    InsideTM



    Junior Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    подскажите пожалуйста можно ли с помощью исы и чего нить ещё (чего?) решить следующую задачу:
    Учёт времени проведённого юзвером в сети и логирование посещённых им сайтов. Спасибо.

    Всего записей: 70 | Зарегистр. 06-12-2007 | Отправлено: 10:02 19-02-2008
       

    Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102

    Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Microsoft ISA Server 2006/2004/2000 (Часть III)
    emx (13-07-2008 10:54): Microsoft ISA Server 2006/2004/2000 (Часть 4)


    Реклама на форуме Ru.Board.

    Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
    Modified by Ru.B0ard
    © Ru.B0ard 2000-2024

    BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

    Рейтинг.ru