emx Moderator Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору <<< Предыдущая часть этой темы Microsoft Internet Security & Acceleration Server - сайт производителя - необходимо посетить, начиная работу с ISA Server IsaDocs.Ru - переведенные статьи с IsaServer.Ru - форумы, статьи, решения ISA на iXBT - Хобот, наш конкурент Коллекция ссылок на статьи   продолжение шапки.. Всего записей: 11826 | Зарегистр. 05-06-2002 | Отправлено: 19:03 10-03-2007 | Исправлено: Out, 23:44 03-05-2007

fella Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору можно полошу? поиском запутался и не нашел точного ответа на свой вопрос   Имеется три офиса, один из них главный(взде иса-2004). С главным из каждого офиса создан site-to-site vpn канал, т.е. объеденены в одну сеть; у каждого офиса свой диапозон(главный 192.168.0.0/24, офис1 192.168.1.0/24, офис2 192.168.2.0/24). Т.е. трафик между офисом1 и офисом2 проодит через главный. Иногда то у одного, то у другого офиса падает впн с главным и он довольно долго восстанавливается...   Так вот вопрос: можно поднять еще одно дополнительное впн соединение site-to-site между офисом1 и офисом2? что придется поправить? Всего записей: 49 | Зарегистр. 03-08-2006 | Отправлено: 19:14 05-09-2007

hardhearted Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору fella Цитата: Так вот вопрос: можно поднять еще одно дополнительное впн соединение site-to-site между офисом1 и офисом2? а почему бы и нет? берешь и создаешь Цитата: что придется поправить? ничего Всего записей: 1272 | Зарегистр. 23-10-2004 | Отправлено: 13:58 06-09-2007

hardhearted Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору fella Цитата: Т.е. нельзя ведь создать еще одно vpn соединение с маршрутизацией подсети, которая имеет маршрут через главный ? почему нельзя? что законом запрещено разве? берешь и создаешь, тока вот такую тупость как "маршрут через главный" все таки убери, в твоем случае как и в большинстве других прямые маршруты всегда выгоднее, если конечно нет сильных различий стоимости трафика между разными офисами.. Всего записей: 1272 | Зарегистр. 23-10-2004 | Отправлено: 12:46 07-09-2007

mrDem Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Можно ли распределять потоки по нескольким каналам? Всего записей: 348 | Зарегистр. 11-07-2007 | Отправлено: 14:02 07-09-2007

hardhearted Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору mrDem потоки чего? несколько каналов использовать для резервирования или распределения трафика можно, но только иса тебе в этом никак не поможет по одной банальной причине: иса - НЕ роутер.   Добавлено: hardhearted можно только если поставить несколько серваков иса в массиве и заюзать nlb Всего записей: 1272 | Зарегистр. 23-10-2004 | Отправлено: 15:36 07-09-2007

hardhearted Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору fella правильно ругается, иса не любит извращенцев ) Всего записей: 1272 | Зарегистр. 23-10-2004 | Отправлено: 14:43 08-09-2007

Vxd2000 Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Есть Win 2003 Server, на нем стоит Isa2004.   На компьютере с Win 2003 Server запущен FTP сервер (встроенный) ,  "заведенный" на внутренний IP, в Isa прописано правило FTP и FTP сервер, также есть правило публикации (доступ с Internal и External, стоит внутренний IP адрес, тот же, на который заведен FTP) .  Но с компьютеров внутренней сети по внешнему IP FTP сервера зайти не получается. Как сделать, чтобы с компьютеров внутренней сети по внешнему IP FTP был доступ ?   Такая же фигня с Web сервером.   Все компьютеры в сети со статическими IP, без FW клиентов. Всего записей: 1121 | Зарегистр. 14-11-2002 | Отправлено: 17:00 08-09-2007 | Исправлено: Vxd2000, 18:04 08-09-2007

hardhearted Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Vxd2000 вообще то что ты хочешь полнейший бред и не могу представить зачем он мог понадобиться. у себя проверил, обычная публикация и это почему то работает (к сожалению, я то надеялся что что работать такое никогда не будет, что мелкомягкие позаботятся о тех кому в голову лезут идиотские идеи и не позволят так на исе делать ), набираю ftp://внешний_ип и захожу на отпубликованный сервак бред какой то, в логах при этом казалось бы все верно, с моего компа на внешний ип по обычному правилу доступа, и с внешнего на публикуемый через публикацию, тока странно что иса свой внешний ип в логах относит к  external, а не к localhost, если бы она считала его как localhost то у меня не сработало бы, в этих правилах не разрешен localhost.   MoRfiUM ну чужие сеты есть, тока они чаще всего буржуйские и туда много чего лишнего занесли а всю порнуху все равно не закроешь, можешь и не пытаться, сеты будут содержать десятки тысяч записей, иса будет напрягаться их обрабатывать, а сайтов туда не попавших будет все равно стокаже если не больше ) я тока почтовики закрываю, IM, и некоторые равлекухи, там где приколы, видео, знакомства, музыка, чаты, блоги и т.д. а порно уже давно не закрываю, безполезный способ, есть намного лучше и действеннее Всего записей: 1272 | Зарегистр. 23-10-2004 | Отправлено: 16:23 09-09-2007

mrDem Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: потоки чего? несколько каналов использовать для резервирования или распределения трафика можно, но только иса тебе в этом никак не поможет по одной банальной причине: иса - НЕ роутер. Допустим мне нужно чтоб pop3 и smtp шли по одному каналу, а http по другому, есть там возможность такой работы, или так и придется дальше пользоваться роутингом винды? Всего записей: 348 | Зарегистр. 11-07-2007 | Отправлено: 10:12 10-09-2007

greenfox Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору mrDem в самой исе - нет. ---------- Три вещи вечны: смерть, налоги и потеря данных... Всего записей: 4139 | Зарегистр. 29-07-2003 | Отправлено: 10:25 10-09-2007

Vxd2000 Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору hardhearted, то есть у тебя этот "бред" работает ?   Бывает, что те, у кого нарушение логики, называют что - то иногда бредом (без относительно личностей) .   Это должно работать по логике сетей.   Не знаю, что у тебя там в log' ах (их не видел) , но если с компьютера во внутренней сети уходит пакет адресованный получателю с IP из Internet'a, он туда и приходит (например на адрес mail.ru, этот пакет туда и приходит) , так если пакет уходит на адрес равный внешнему IP Isa, как он должен обрабатываться Isa ?   На то такие адреса и называются внешними или адресами диапазона Internet (по соглашению адресации, есть также адреса, например диапазонов 192., 10., которые не относятся к адресам Internet, вообщем это известно, наверное) , что они "внешние" . Он (пакет) естественно возвращается "из вне" , на этот внешний IP.     Если к localhost относится внешний интерфейс, который смотрит наружу, не кажется ли, что это открывало бы большую дырку в localhost ?   Просто в данном случае получается такая "петля" или внешний loopback.   Из описания, идущего с Isa: "The External network includes all Internet Protocol (IP) addresses not explicitly included in any other network. Upon installation, the External network includes all addresses not in the Internal network, the IP address of the Local Host network (127.0.0.1) ... " , то есть логично, что внешний IP компьютера с Isa, то есть относящийся к диапазону Internet адресов, входит в External.     Добавлено: Блин, у меня пока не работает, ни FTP, ни Web (только http://внутренний_IP и ftp://внутренний_IP) . Всего записей: 1121 | Зарегистр. 14-11-2002 | Отправлено: 13:30 10-09-2007

greenfox Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Vxd2000 Цитата: На компьютере с Win 2003 Server запущен FTP сервер (встроенный) ,  "заведенный" на внутренний IP, в Isa прописано правило FTP и FTP сервер, также есть правило публикации (доступ с Internal и External, стоит внутренний IP адрес, тот же, на который заведен FTP) .  Но с компьютеров внутренней сети по внешнему IP FTP сервера зайти не получается.   ну а что вы хотите? у Вас судя по тому (крайнемалопонятному) варианту что вы написали открыт на исе только внутренний ip. Соот-но на внешний будет динайд... Вариантов несколько - или отдельно открыть внешний ip для доступа к ftp или сразу на все ip исы - localhost (это обычные правила доступа, не публикация) И публикация тут по идее не нужна - просто правило ftp-server с соот-м доступом (ранее в топе уже писали почему) Цитата: Если к localhost относится внешний интерфейс, который смотрит наружу, не кажется ли, что это открывало бы большую дырку в localhost ? какую именно? масло масленое...     hardhearted Цитата: бред какой то, в логах при этом казалось бы все верно, с моего компа на внешний ип по обычному правилу доступа, и с внешнего на публикуемый через публикацию, тока странно что иса свой внешний ип в логах относит к  external, а не к localhost, если бы она считала его как localhost то у меня не сработало бы, в этих правилах не разрешен localhost иса как бы получается по разному трактует принадлежность своих ip адресов к соот-м пердопределённым сетям в зависимости от правила в который попадает доступ. При обычных - это локалхост, при правилах публикации это уже экстернал     Т.о. и получается, что если открываешь на исе фтп сервак простым правилом доступа с протоколом фтп-сервер то в дестинейшене надо использовать локалхост. Если открываешь доступ правилом публикации (что вобщем то неверно логически) то в дестинейшене надо уже указаывать экстернал наск я понимаю... (это если использовать вкачсетве дестинейшена нетворки а не конкретные ip)   Майрософтттттттттт.... ---------- Три вещи вечны: смерть, налоги и потеря данных... Всего записей: 4139 | Зарегистр. 29-07-2003 | Отправлено: 14:21 10-09-2007 | Исправлено: greenfox, 14:26 10-09-2007

hardhearted Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору mrDem у исы нет роутинга вообще, так что только виндовый. винда не умела никогда ни port-based ни source-based роутинг, так что забудь про свою затею. хочешь такое реализовать ставь нормальный роутер Vxd2000 Цитата: На то такие адреса и называются внешними или адресами диапазона Internet (по соглашению адресации, есть также адреса, например диапазонов 192., 10., которые не относятся к адресам Internet, вообщем это известно, наверное) , что они "внешние" .   не путай теплое с мягким, "внешние" и "internet" адреса для исы разные вещи (у меня "внешний адрес" например 10.0.0.2 ). у исы external это все множество адресов не включенных в другие network, в том числе свои адреса туда также не входят (пингани ису и посмотри какая сеть в логах будет). Цитата: Если к localhost относится внешний интерфейс, который смотрит наружу, не кажется ли, что это открывало бы большую дырку в localhost ?   как раз наоборот, все свои адреса принадлежат к localhost специально чтобы своими адресами оперировать во всех правилах отдельно. greenfox Цитата: При обычных - это локалхост, при правилах публикации это уже экстернал   про публикацию все понятно, но при такой ситуации в логе две записи, одна по простому правилу от моего компа на внешний ип, вторая уже публиция, так вот первая запись это не публикация и по идее должна быть в localhost (в нормальной ситуации при коннекте из вне этой первой записи вообще бы не было), а вторая уже понятное дело от external потому что по публикации прошло. Цитата: Если открываешь доступ правилом публикации (что вобщем то неверно логически) то в дестинейшене надо уже указаывать экстернал наск я понимаю... (это если использовать вкачсетве дестинейшена нетворки а не конкретные ip)   в правиле публикации destination не указывается, указывается только конкретный адрес публикуемого сервака (что логично, всю сеть опубликовать нельзя), а сети указываются тока в поле from а также указывается network который надо слушать ---------- Правильно заданный вопрос уже половина ответа. Всего записей: 1272 | Зарегистр. 23-10-2004 | Отправлено: 19:06 10-09-2007

Vxd2000 Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: какую именно?  масло масленое...     Большую, какой вопрос такой и ответ. Масло масленного здесь нет, просто наверное сначала надо было понять фразу. Пример такой: есть хорошо укрепленый замок (можно в свою фантазию допустить средневековый) , высокие стены, ров воды вокруг, одна сторона замка выдолблена в скале.   И тут правитель этого замка говорит (издает указ) , бери любой желающий чужак (не гражданин) , в пределах замка (крепостой стены) любой дом для проживания с участком стены (участок стены не в собственность, но можешь с ним делать что хочешь, например сделать проезд к своему дому) , таким образом надежность защиты замка падает катастрофически (можно конечно поставить еще одни ворота - правило доступа, но по сути защита упала очень сильно) .   greenfox, посмотрю еще раз правила (хотя правило FTP сервер есть) .   Цитата: не путай теплое с мягким, "внешние" и "internet"   , вот тут - то у многих и заблуждение, одно с другим часто (очень) идут рука об руку, у мягкого одна из характеристик может быть - теплое, ну и наоборот. Но все это из "одной оперы" .     Цитата: у меня "внешний адрес" например 10.0.0.2   , согласен, у меня например "внешний" второй адрес 10.0.4.53.   Но от этого внешний, тот который Internet адрес не поменялся и не поменялось то, что пакет приходит на самый внешний из внешних адресов (если такая тафтология здесь возможна) , на адрес "внешнего" интерфейса, принадлежащий Internet диапазону.   Буду еще посмотреть.   Самое интересное (блин, может что - то с NAT) , но с самого сервера (где стоит Isa, есть правило FTP сервер, есть ftp публикация) , например ftp://внешний_IP тоже пока не работает.         Добавлено: Цитата: ну а что вы хотите? у Вас судя по тому (крайнемалопонятному) варианту что вы написали открыт на исе только внутренний ip.   Еще раз, вот что есть: Win 2003 Server R2, Isa2004 Standart, один "внутренний" IP на внутреннем интерфейсе, два "внешних" IP на внешнем интерфейсе (провайдера и Internert диапазона) , здесь же Ftp и Web сервера (оба на своих стандартных портах) , оба на "внутренних" IP.   Есть правило FTP server: естественно Allow, протокол конечно же FTP сервер, from - поставил и External и Internal, to стоит Local host.   Есть правило публикации FTP: опять же, естественно Allow, Traffic - FTP server, from - Anywhere, to - "внутренний" адрес сервера Win 2003 и естественно тот же адрес, на котором FTP сервер, selected networks - отмечены local host, internal, external.   Важно: правило публикации FTP стоит после правила FTP server. Всего записей: 1121 | Зарегистр. 14-11-2002 | Отправлено: 00:09 11-09-2007

greenfox Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору hardhearted Цитата: в правиле публикации destination не указывается, указывается только конкретный адрес публикуемого сервака (что логично, всю сеть опубликовать нельзя), а сети указываются тока в поле from а также указывается network который надо слушать да, ошибся. Имел ввиду что экстернал уже получается в поле "слушать", хотя по идее слушает она свой ip (который в локалхосте)   Vxd2000 Цитата: Большую, какой вопрос такой и ответ.   вопрос был нормальный... каую дыру вам открывает наличие в локалхосте все ip исы? Вариант про замок маловразумителен бо в нашем случае второго проезда это явно не открывает, пока ты сам явным образом не разрешишь доступ соот-м правилом (не дашь разрешение прорубить ворота)... Не вижу issue. Цитата: два "внешних" IP на внешнем интерфейсе (провайдера и Internert диапазона)   не совсем понятна данная фраза... Имхо, если сервак стоит на исе, правило публикации пока убери (задизейбли например), потом давай доступ из интернал и экстернал по протоколу ftp-server на ису (локалхост). Поставь правило на самый верх (для чистоты эксперемента), потом смотри что он-лайн лог кажет (или сюда запости) ---------- Три вещи вечны: смерть, налоги и потеря данных... Всего записей: 4139 | Зарегистр. 29-07-2003 | Отправлено: 09:49 11-09-2007 | Исправлено: greenfox, 09:51 11-09-2007

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Microsoft ISA Server 2006/2004/2000 (Часть III)

emx (13-07-2008 10:54): Microsoft ISA Server 2006/2004/2000 (Часть 4)

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование