emx Moderator Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору <<< Предыдущая часть этой темы Microsoft Internet Security & Acceleration Server - сайт производителя - необходимо посетить, начиная работу с ISA Server IsaDocs.Ru - переведенные статьи с IsaServer.Ru - форумы, статьи, решения ISA на iXBT - Хобот, наш конкурент Коллекция ссылок на статьи   продолжение шапки.. Всего записей: 11826 | Зарегистр. 05-06-2002 | Отправлено: 19:03 10-03-2007 | Исправлено: Out, 23:44 03-05-2007

shuum Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Собственно здравствуйте! перерыл весь яндекс, гугл и мсдн, - голяк ниче не понял! Суть: есть шлюз с isa2006 в нём 3 сетевухи, одна смотрит в инет, другая в сеть 192.168.0.*, третья в сеть 192.168.1.*, на самом шлюзе стоит фтп сервер SERV-U последней версии (настройка сервера предполагает использоватие всех доступных на этой машине IP, использование для DATA TRANSFER диапазона портов с TCP 2000 по 2049, и подсовывание клиенту внешнего IP адреса для пересылки этих самых данных ) так вот в исе создано правило публикации этого  FTP сервера (создан свой собственный протокол минуя фильтр фтп в нем разрешены порты 21 и 2000-2049) так вот публикуем значит с внешнего интерфейса на 192.168.0.1 (сделано чтоб видеть его траффик в логах исы и считать траффик инспектором исключая весь траффик внешнего интерфейся) предпалагается что цепляться будут к этому серваку клиенты через SSL FTP в пассив мод, они и цепляются всё хорошо! А ТЕПЕРЬ ВНИМАНИЕ ВОПРОС!   при открытии двух подключений к серверу и попытке использовать пересылку с серрвера на сервер (FXP) рубится на дата трансфере а в логах исы 0xc0040030 FWX_E_OUTBOUND_PATH_THROUGH_DROPPED  сеть источника localhost сеть назначения EXTERNAL порт 50001 правило создано на исе что разрешать локалхосту ходить в любые сети и по любым протоколам!! ЛЮДИ ПОМОГИТЕ Всего записей: 259 | Зарегистр. 01-11-2006 | Отправлено: 20:00 03-06-2007

zamut Newbie Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору rijk ты прав, ИСА видит его, но не знает что делать. Вот лог     Извините - мож я не правильно выразился, но в конце своего сообщения я сказал что я добавлял свой айпи во внутреннюю сеть т.е. Internal, но это тож не памагло. На счет сетевых правил     И еще на всякий случай       Не забывайте, я выхожу через прокси "AA" из дома, а DSL (AA) кидает прозрачно, т.е. мой айпи остается моим и виден в ИСЕ.     lokiSSE Хотелось бы без VPN как нибудь     hardhearted В самом DSL стоит правило всем внешним на порт 8080 идти по внутренней сети на ISA     Спасибо всем кто помогает! Всего записей: 13 | Зарегистр. 02-02-2006 | Отправлено: 04:55 04-06-2007 | Исправлено: zamut, 05:08 04-06-2007

rewz Newbie Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Всем здравствуйте Есть вопрос Генерирую отчет за месяц Object Types 1    Unknown    47    159688    27,30 %    1,21 GB    24,40 %   Что за тип файлов Unknown , как научить ису их распознавать что бы можно было потом запретить? Заранее спасибо Всего записей: 23 | Зарегистр. 15-03-2007 | Отправлено: 09:18 04-06-2007

rijk Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору zamut Цитата: я добавлял свой айпи во внутреннюю сеть т.е. Internal, но это тож не памагло. если б я был прав то это должно было помочь 1. В группе компы создай свой комп. 2. Сделай новое правило под номером 1 в Firewall Rules: для своего компа разреши весь исходящий трафик 3. Сделай предпоследнее правило в Network Rules для своего компа в External: NAT   Было бы желательно, если б ты всё-таки нарисовал схему, как ты попадаешь в сеть? и покажи tracert forum.ru-board.com -d   rewz Цитата: как научить ису их распознавать что бы можно было потом запретить? Можно самому увеличить количество Object Types, но для этого нужно хотя б предполагать, какие проходят в твои 27.30%. К Unknown будут относиться так же стартовые (дефаултные) страницы, например forum.ru-board.com загружается стартовая страница index.html (к примеру), но ISA этого не знает и в Unknown. Всего записей: 361 | Зарегистр. 16-10-2006 | Отправлено: 11:02 04-06-2007

hardhearted Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору rijk Цитата: ISA то его видит но не знает что сделать с пакетами проходящими через ISA, использовать NAT или ROUTE, и для этого нужно Network Rule какое еще network rule во первых все что внутри internal между собой общается без исы (должно общаться) во вторых от localhost во все остальные сети всегда route )   Добавлено: zamut то есть как я понял твой dsl не роутит трафик от компа на ису и обратно, ты на нем просто сделал редирект 8080 порта на ису? на исе маршрут прописан? Всего записей: 1272 | Зарегистр. 23-10-2004 | Отправлено: 14:24 04-06-2007

rijk Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору hardhearted Цитата: во первых все что внутри internal между собой общается без исы (должно общаться)   Частично согласен, Microsoft предполагает многоуровневую защиту (isa за isa-ой) и для этих целей выпускает enterprise edition, но для нас простых смертных это дорого. Цитата: во вторых от localhost во все остальные сети всегда route   тоже не спорю Цитата: какое еще network rule   Компьютер zamut-а не входил первоначально в Internal, то есть для него нужно сделать network rule. Всего записей: 361 | Зарегистр. 16-10-2006 | Отправлено: 15:53 04-06-2007

hardhearted Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору rijk если не входит в internal то значит он в external, у исы все куда то входят. вопрос тока в том что если иса этот комп видит через внутренний interface то этот комп должен входит в internal. в этом природа построения networks в исе   ps не понял первой реплики, причем тут internal и иса за исой? я вообще о другом говорил Всего записей: 1272 | Зарегистр. 23-10-2004 | Отправлено: 16:25 04-06-2007

rijk Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору hardhearted Ты полностью зациклеваешься на internal, для тебя это как святой грааль, isa можно вообще без него настроить, это название было вмантированно для твоего удобства Цитата: через внутренний interface то этот комп должен входить в internal Человек здесь пишет, потому что у него не работает комп, и я исходя из своего опыта и полученной информации рекомендую проверить networks rules. И не собераюсь с табой спорить должен ли этот комп входить в Internal или не должен.   zamut Ну ты замутил. Быстро говори, что у тебя tracert пишет, пока мы тут с братками друг друга не порешили Всего записей: 361 | Зарегистр. 16-10-2006 | Отправлено: 17:26 04-06-2007

hardhearted Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору rijk я не зацикливаюсь, для меня internal это просто один из многих обьектов, как его назвать уже не имеет значения. network это множество адресов которые могут работать меж собой минуя ису (напрямую, либо через левый роутер, это не важно), это определение обьекта network для исы, если другими словами то все адреса куда иса может попасть через один интерфейс должны быть в одном network. если в в каком то network (без потери общности его в большинстве случаев можно назвать internal) стоит роутер и через него видна еще одна подсетка то по правильному эту подсетку также надо включать в этот network.   в его случае комп виден через dsl модем стоящий в internal, значит все что иса должна видеть через этот модем, то есть его домашний комп, надо вписывать в internal и писать маршрут конечно же Всего записей: 1272 | Зарегистр. 23-10-2004 | Отправлено: 18:08 04-06-2007

Qzero Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Народ, а можно как-нибудь русифицировать сообщения ИСЫ для пользователей...   Т.Е. чтобы если чел лезит туда куда ему НИЗЯ, чтоб страничка открывалась на русском, а не на аглицком.   ЗЫ Вроде видел где-то оффициальный патч-русик от мелкософта, только вот не помню где... Всего записей: 83 | Зарегистр. 02-05-2006 | Отправлено: 19:25 04-06-2007 | Исправлено: Qzero, 19:26 04-06-2007

zamut Newbie Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору rijk 1. В группе компы создай свой комп.   1. Да сделано ужо давно   2. Сделай новое правило под номером 1 в Firewall Rules: для своего компа разреши весь исходящий трафик 2. Есть такое   3. Сделай предпоследнее правило в Network Rules для своего компа в External: NAT   3. Готово Смотри рис. - нифига не памагло.         Было бы желательно, если б ты всё-таки нарисовал схему, как ты попадаешь в сеть? Я дома в IE в свойствах подкл. для прокси указываю IP_DSL(AA-работа) и порт 8080. На самом DSL(работа) ставлю правило что "всем внешним приходящим на порт 8080 идти по внутренней (локальной) сети на ISA внутренний интерфейс". Как правильно заметил hardhearted "просто сделал редирект 8080 порта на ису". А сама ISA не понимает что дальше делать, она правило не подхватывает, т.е. не понимает какое нужно. Че за проблема, чет не понимаю, как только не тыкал.   и покажи tracert forum.ru-board.com -d   Покажу, только это много не даст, я так понял что tracert  не использует настройки IE для прокси, так что tracert  идет напрямик без прокси, а значит tracert  безполезен здесь.   D:\>tracert ya.ru -d Трассировка маршрута к ya.ru [87.250.251.8] с максимальным числом прыжков 30:   1   <10 мс   <10 мс   <10 мс  195.1.1.161   2   <10 мс   <10 мс   <10 мс  195.1.1.1   3   609 ms   594 ms   578 ms  212.176.119.102   4   562 ms   563 ms   562 ms  193.232.88.4   5   562 ms   563 ms   562 ms  193.232.246.93   6   578 ms   547 ms   625 ms  87.250.251.8 Трассировка завершена.   hardhearted на исе маршрут прописан?   Как мне его прописать, чет не могу сообразить, маршрут это в ИСЕ как?     И  rijk и hardhearted тока давайте нормально, я понимаю спор есть спор, но всеже, не хотелось бы с моим замутом вас посорить.   Всем удачи, и мне тож. Всего записей: 13 | Зарегистр. 02-02-2006 | Отправлено: 04:47 05-06-2007

iogun Full Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору до установки ISA 2004 std, к серверу был открыт удаленный доступ (терминал) после не то что доступ а сам сервер перестал пинговаться с др. машин. Подскажите как это исправить Всего записей: 477 | Зарегистр. 31-08-2004 | Отправлено: 13:28 05-06-2007

serje Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору коллеги, здравствуйте! нарвался на непонятные вилы... на исе 2006 сделал впн, адреса получаются от внутреннего dhcp. у меня сетка 192.168.0, а маска сети 255.255.252.0. почти весь этот диапазон и раздаётся. но! когда впн-клиент получает адрес из какой-то части внутренней сети класса С (типа, 192.168.2.х), то видит только компы из этой части сети. а в маршрутах появляется такой маршрут 192.168.2.0 маска 255.255.255.0 ит.д.... получается, что маска каким-то хитым способом подменяется с 255.255.252.0 на 255.255.255.0 все внутренни клиенты получают адреса и маски отлично и без нареканий... помогите решить проблему! Всего записей: 57 | Зарегистр. 07-04-2003 | Отправлено: 13:42 05-06-2007

rijk Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору iogun Открой Edit System Policy (правая клавиша на Firewall Policy) найди там Terminal Server и разреши доступ для Internal. А в общем почитай документацию   serje Войди в Address Assignment и переключи получать адреса от DHCP из Internal. Если хочешь использовать Static Adress Pool, то там совсем другая логика он использует ISA как шлюз между двумя сетями Internal и VPN не в зависимости, какие сети ты там прописал. Если хочешь, что б у клиента был ip 192.168.2.*, то тут придется вручную его выставить в AD   zamut Цитата: Трассировка завершена.   Это говорит о том что всё должно работать и проблема может быть только с правилами, но если у тебя и тут всё разрешено Поставь SP3 для ISA2004, если не стоит Цитата: Я дома в IE в свойствах подкл. для прокси указываю IP_DSL(AA-работа) и порт 8080.   На самом DSL(работа) ставлю правило что "всем внешним приходящим на порт 8080 идти по внутренней (локальной) сети на ISA внутренний интерфейс".   Тут мне не всё понятно, у тебя дома и на работе DSL модемы, соединенные точка-точка?   Добавлено: Этот же работе DSL модем выходит в интернет? Всего записей: 361 | Зарегистр. 16-10-2006 | Отправлено: 14:41 05-06-2007

hardhearted Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору zamut Цитата: Как мне его прописать, чет не могу сообразить, маршрут это в ИСЕ как?   я писал на иса, то есть на исе сервере, а не в иса как в любой винде route add -p ....   судя по логам ты свой комп не включил в internal, а network rule бесполезен   rijk этот трасерт у него вообще не через офис, офис он тока как прокси юзать хочет, так что пинги и трасерты у него прямо через домового прова идут ) Всего записей: 1272 | Зарегистр. 23-10-2004 | Отправлено: 16:31 05-06-2007

zamut Newbie Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору rijk Цитата: Тут мне не всё понятно, у тебя дома и на работе DSL модемы, соединенные точка-точка?   Добавлено:   Этот же работе DSL модем выходит в интернет?   Из дома ДСЛ выходит в инет.   На работе тож ДСЛ выходит в инет. Я просто (как правильно сказал hardhearted) хочу выходить в инет через прокси своей работы, т.к. DSL(дом) -->DSL(работа) одного провайдера, то соответственно трафик дешевле.   hardhearted Цитата: судя по логам ты свой комп не включил в internal, а network rule бесполезен   Да включал я его в Internal, просто потом мы его опять удалили из Internal, и пробовали настраивать как сказал rijk но не вышло, а так он по логам вообще определяется что он входит в Internal, когда мы его туда добавляем.   Цитата: у него прямо через домового прова идут ) Что правда то правда.   Цитата: как в любой винде route add -p ....   Т.е. я свой ip и маску должен внести в маршрутизацию. т.е. route add 195.1.1.163 или как? чет я не совсем понял с точки зрения физики что мне это даст и как правильно написать комманду, описание комманды смотрел, ток тож чет не очень ясно. hardhearted Скажишь как и для чего?     А сервис пак - ща найдем, поставим проверим.   Поставил, теперь стало поподробнее       Определился proxy, хотя надобыло в настройках proxy поставить Outbound, в общем заментны улучшения сервис пака, но задача так и не решилась, чтото в мозгу мелькает идея, но немогу сообразить, думаем дальше. Всего записей: 13 | Зарегистр. 02-02-2006 | Отправлено: 02:39 06-06-2007 | Исправлено: zamut, 03:57 06-06-2007

Infected Switch Full Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Такая проблема:   Разрешил себе FTP доступ from int to ext. Захожу клиентом на ftp нормально, но при попытке что-либо изменить Access Denied. В логах Иса рубит соединения протокола FTP по портам типа 3754, 3756... Всего записей: 471 | Зарегистр. 25-08-2006 | Отправлено: 10:05 06-06-2007

Vby Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Infected Switch Правой кнопкой по правилу - Configure FTP - Read Only - disable Всего записей: 781 | Зарегистр. 16-09-2004 | Отправлено: 10:18 06-06-2007 | Исправлено: Vby, 10:19 06-06-2007

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Microsoft ISA Server 2006/2004/2000 (Часть III)

emx (13-07-2008 10:54): Microsoft ISA Server 2006/2004/2000 (Часть 4)

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование