Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Microsoft ISA Server 2006/2004/2000 & TMG/UAG (Часть 4)

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146

Открыть новую тему     Написать ответ в эту тему

emx



Moderator		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Предыдущие части этой темы: 1 + 2 + 3

  • Microsoft Internet Security & Acceleration Server - сайт производителя

  • - необходимо посетить, начиная работу с ISA Server

  • IsaDocs.Ru - переведенные статьи с

  • IsaServer.Ru - форумы, статьи, решения

  • ISA на iXBT - Хобот, наш конкурент

  • Коллекция ссылок на статьи
     
  • Варез Miсrosoft Forefront TMG (ISA)
     
    Назначение и применение сабжа..
    Продолжение шапки..
    НАСТОЯТЕЛЬНАЯ ПРОСЬБА

    ВСЕМ КТО ПОСТИТ В ЭТОМ ТОПИКЕ - ЕСЛИ ВЫ РЕШИЛИ ПРОБЛЕМУ САМИ ИЛИ С ПОМОЩЬЮ, УБЕДИТЕЛЬНО ПРОСИМ ВАС ПОДЕЛИТСЯ РЕШЕНИЕМ ВАШЕЙ ПРОБЛЕМЫ - ЖЕЛАТЕЛЬНО РАЗВЁРНУТО И С ОБЬЯСНЕНИЯМИ, В ДАЛЬНЕЙШЕМ ЭТО ПОМОЖЕТ ДРУГИМ ЛЮДЯМ, СТОЛКНУВШИМСЯ С ТЕМИ ЖЕ ПРОБЛЕМАМИ.
    // текущий бэкап шапки..
    • Всего записей: 11826 | Зарегистр. 05-06-2002 | Отправлено: 10:54 13-07-2008 | Исправлено: Paromshick, 11:25 30-01-2016
    packuh

    Junior Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    к сожалению она платная а если я поставлю такой вариант. есть левая програмка прокси сервачек. убогая конечно но у неё есть прокси сервер http и там я могу контролировать скорости , бананить сайты итд в общем контроль юзеров там хороший. вот  если я её воткну на иса сервере и дам её порты 3128 это будет разумно? да и вообще осуществимо?
    у неё тока входящие 3128 и исходящиев интернет ну сокс еще есть но я его закрою. он там ненужен
    Всего записей: 43 | Зарегистр. 24-12-2010 | Отправлено: 09:26 01-09-2011
    geminisf

    Junior Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Зачем на isa сервере огород городить. Там вроде в теме и лекарство есть. Я извиняюсь спросить: а остальное ПО на этом сервере у вас оплачено?
    Всего записей: 102 | Зарегистр. 04-10-2006 | Отправлено: 09:35 01-09-2011
    packuh

    Junior Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    уху я стараюсь сейчас все приводить к лицензионному варианту. а то мало ли чего когда спросят.то, что у мвд, прокуратуры и полиции стоит нелиценз софт еще не значит, что они при проверке будут думать о том, что лиценза нет у них, они будут смотреть , что нету у вас.
     
    Добавлено:
    хотя в принципе хрен кто догадается , что у меня стоит крякнутый модуль на иса сервер.
    Всего записей: 43 | Зарегистр. 24-12-2010 | Отправлено: 09:38 01-09-2011
    geminisf

    Junior Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Ну уж если приводить все к лицензионному варианту, то лучше купить Bandwidth Splitter, чем городить два прокси на одном сервере.
    Всего записей: 102 | Зарегистр. 04-10-2006 | Отправлено: 09:53 01-09-2011
    packuh

    Junior Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    Поставь галочку обратно. С ней должно работать. Проблема в настройках этого фильтраю Попробуй порыться вот здесь:
    правой кнопкой на разрешающем правиле, настроить HTTP. Может там чего поднастроил?
     

     
    Нет я там ничего не менял
    все по дефолту
     
    Добавлено:

     

     

     

     
    в общем  ничего не добавлял
     
    но с галочкой веб прокси в свойствах ХТТП интернет перестает работать
    Всего записей: 43 | Зарегистр. 24-12-2010 | Отправлено: 10:12 01-09-2011
    geminisf

    Junior Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    А чего правило 5 отключено?
    Всего записей: 102 | Зарегистр. 04-10-2006 | Отправлено: 11:09 01-09-2011
    packuh

    Junior Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

     
    Добавлено:
    после того как поставил Bandwidth и включил кеширование интернет пропал. убрал  кеширование интернет так и не появился. точнее выход в интернет через ISA
    Всего записей: 43 | Зарегистр. 24-12-2010 | Отправлено: 12:54 01-09-2011
    geminisf

    Junior Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Bandwidth собственно тоже web фильтр. Какая-то проблема у тебя с web фильтрами. Может isa криво как-то встала?
    Всего записей: 102 | Зарегистр. 04-10-2006 | Отправлено: 13:29 01-09-2011
    packuh

    Junior Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    хмм а как это выяснить? удалить полностью иса чтоль и заново поставить?
    Всего записей: 43 | Зарегистр. 24-12-2010 | Отправлено: 13:33 01-09-2011
    geminisf

    Junior Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Если есть возможность - попробуй. Я б еще и систему попробовал переустановить, если не сам ставил.
    Всего записей: 102 | Зарегистр. 04-10-2006 | Отправлено: 13:43 01-09-2011
    packuh

    Junior Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Переставил вин 2003сер воткнул в него
    файловый сервер
    шарепоинт
    сервер приложений ASP.NET    iss
    сервер терминалов
    днс и дхцп сервер
     
    дальше настроил днс.
     
    дальше установил ISA
    дальше воткнул в иса bandwidth
     
    дальше создал сеть в которую включил модем и интернет соединение пппое
    назвал её modem
     
    дальше создал правила

     
    дальше ввожу в броузере сервера и локальных компов ip ISA сервера и порт 8080.
    интернет не работает не на сервере не на компах.
     
    Добавлено:
    выключаю службу межсетевой экран микрософт на сервере появляется интернет
     
    Добавлено:
    удалил сеть с названием modem. и соответственно удалил её из всех правил. добавил на всякий случай правило - разрешить - HTTP - внутр/локальный-внешняя
     
    все равно пока филтр вебпрокси на HTTP протоколе не выключу соединение не проходит .
     
    Посмотрите у себя может фильтр у меня неправильный. вот в описании фильтра что написано
     
    Филтр веб-прокси
    поставщик микрософт
    версия 4,0
    описание включает HTTP-прокси и кэш
    Всего записей: 43 | Зарегистр. 24-12-2010 | Отправлено: 08:19 02-09-2011 | Исправлено: packuh, 08:20 02-09-2011
    RADISH



    Junior Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    packuh
    На исе не нужен шарепоинт. На исе не нужен терминальный сервер. На исе не нужен файловый сервер.  
    Иса - достаточно тонкая и довольно глючная материя...
     
    По существу:
    1 вариант - на роутере ставишь бридж и на исе на WAN ставишь статику от првайдера (IP,Mask,GW, DNS), на LAN статику (192.168.0.1, 255.255.255.0)
    Ставишь ISA - внешняя сеть указываешь плату WAN, локальная сеть - LAN. После установки примени настроеный шаблон в исе (конфигурация - сети - шаблон - пограничный сетевой экран).
    Сделай правило весь трафик с локального во внутреннюю и обратно.
    Следующее правило весь трафик с локального и внутренней во внешнюю.
    по VPNу правила шаблоном создадутся.
    После этого минимума твоя внутренняя сетка будет иметь доступ в интернет. Более тонко разберёшься.
    2 вариант - на роутере поднимаешь pptp и на внешний интерфейс исы DHCP роутера даст айпишник, либо на нем отключить дхцп и тогда на исе ручками прописать айпишник из LAN роутера, соответственно LAN и WAN исы должны иметь разные подсети, дальше все так же как в первом пункте.
    ДНС и ДХЦП на исе поднять можно.
    Всего записей: 47 | Зарегистр. 14-03-2004 | Отправлено: 15:50 02-09-2011
    geminisf

    Junior Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    файловый сервер
    шарепоинт
    сервер приложений ASP.NET    iss
    сервер терминалов
    днс и дхцп сервер  

     
    Е.ать!!! Я бы на Isa сервере косынку опасался раскладывать.
     
    RADISH
     
    Соглашусь
    Всего записей: 102 | Зарегистр. 04-10-2006 | Отправлено: 15:58 02-09-2011
    packuh

    Junior Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    я все это уже настроил. доступ разграничил итд. юзеров направил в инет через проксик. но без галочки в свойствах хттп протокола - веб-прокси. в документации написано , что это надо делать только если есть некоторые сайты которые не поддерживают кеширование и вследствие не будут норм отображаться, но по этой фразе у нас весь интернет тогда кривой чтоль. в общем ограничения я сделал в самом правиле исы на выход в интернет но с запретом на видео и прочий контент кроме хтмл страниц. порезал скорость и остался доволен. на модеме к сожалению все 4 порта должны иметь свои логины и пароли. я например сижу на работе с домашним логином у меня 15 метров а рабочий интернет на 512 кб/сек распределяется между 50 людьми. остальных не подключаю изза- того что и это уже ппц бред полный. 512кб/сек на 50 челоек идиотизм. а компов 160+.в общем  есть еще два порта один у начальника второй у сотрудника.разумеется все мы на домашних сидим. а вот остальные юзеры юзают рабочий нет. на выходны пропишу все протоколы по отдельности , а не правила типа Весь исходящий. и когда у всех будет норм настроен выход в интернет. попробую дать одной машинке выход по впн каналу.там программу требует прямого соединения для впн доступа. но думаю у меня уже хватит опыта это сделать.
     
    осталься только один вопрос. сейчас у меня авторизация проходит только по логину и паролю занесенными в штатные списки пользователей на сервере.могу извратиться и попробовать еще по ip ограничить. сервер сейчас не рядом не знаю может ли он еще авторизацию делать по ip. Но самое главное как можно ко всему этому еще авторизацию по мак адресу прописать?
     
    чтобы выйти в интернет мог только юзер у которого
    юзер и пароль в пользователях винды совпадают с разрешенными на сервере
    совпадает ip с мак адресом. и собственно разрешен по ним доступ с логином и паролем описанным выше.
    Всего записей: 43 | Зарегистр. 24-12-2010 | Отправлено: 16:52 02-09-2011
    anton04



    Silver Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    не знаю может ли он еще авторизацию делать по ip.

     
    Может.
     

    Цитата:
    Но самое главное как можно ко всему этому еще авторизацию по мак адресу прописать?

     
    Никак иса не имеет такой функциональности.
    Всего записей: 2805 | Зарегистр. 14-06-2006 | Отправлено: 17:00 02-09-2011
    packuh

    Junior Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    а есть идеи как можно в ISA пользователя остановить если он знает логин пароль и сменил айпи на разрешенный к выходу в интернет?
    Всего записей: 43 | Зарегистр. 24-12-2010 | Отправлено: 17:09 02-09-2011
    RADISH



    Junior Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Я только одного не пойму, зачем вы создаете себе сложности там где их нет?
    По поводу исходящего всем и всё -  я написал вам минимум как сделать что бы работал у вас интернет, и вот этот выпад не совсем корректен:
    Цитата:
    а не правила типа Весь исходящий.

    Дальше - если у вас домен, а при 160+ машинах наверное все таки он есть, то доменому пользователю можно запретить даже "чихать" самостоятельно, не говоря уже о том что бы запретить менять IP и еще какие либо настройки.
     

    Цитата:
    но по этой фразе у нас весь интернет тогда кривой чтоль.

    Три раза стирал ответ на эту фразу...
     
    По сабжу - прочитайте шиндлера, разберитесь как что работает в ИСЕ и возможно вам не понабиться так сильно извращаться как вы пытаетесь, если всё таки её возможностей не хватит, поставите сплиттер (ссылка выше была) и тогда точно удовлетворитесь.
    Всего записей: 47 | Зарегистр. 14-03-2004 | Отправлено: 17:35 02-09-2011
    packuh

    Junior Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    сплитер воткнул. нападать на вас никто не думал. я описываю что я сделал.домена у меня нет и никогда не будет.если домен рухнет это фатально скажется на нашей сети.а если сеть без домена то ей неважно какой её кусок может отвалиться если гдето вылетит хард или сгорит маршрутизатор.остальная масса сети будет работать.все что я настроил мне уже нравится.
    просто единственный минус , это как раз то , что я в принципе сам же могу насниферить пароли поставить ip и вуаля я в интернете, не думаю , что это будет трудно для продвинутого юзера. есть конечно догадки, что это надо уже сами маршутизаторы программировать против всяких уродов со снифаками, но мне столько не платят. лан спасибо. пока на этом.
    Всего записей: 43 | Зарегистр. 24-12-2010 | Отправлено: 18:45 02-09-2011 | Исправлено: packuh, 18:47 02-09-2011
    bramalei

    Newbie    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Просмотрел множество тем и подобных вопросов (http://social.technet.microsoft.com/Forums/ru-RU/isaru/thread/9fe28a2a-aaae-418b-82a8-f170304216ff) и др.
     
    Расскажу свои исходные данные:
     
    В компании запрещен torrent, действует http b https ограничения и пр.
     
    Задача: открыть только одному (ip адрес или учетная запись) на доступ к протоколу bittorent.
     
    т.е. нужно создать правило http и tcp, как понимаю но не ко всему интернету и не все порты. В общем как можно меньше.
    Всего записей: 10 | Зарегистр. 24-03-2011 | Отправлено: 12:41 05-09-2011
    geminisf

    Junior Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    BitTórrent
     
    Клиенты соединяются с трекером по протоколу TCP. Наиболее часто используемый входящий порт трекера: 6969.
     
    Клиенты соединяются друг с другом, используя протокол TCP. Наиболее часто используемые входящие порты клиентов: 6881—6889.
     
    Номера портов не фиксированы в спецификации протокола и могут изменяться при необходимости. В данный момент большинство трекеров используют обычный HTTP порт 80, а для клиентов рекомендуется выбрать случайный входящий порт. Более того, некоторые трекеры не допускают использование портов клиентов из стандартного диапазона 6881—6889, так как некоторые провайдеры запрещают использование этого диапазона портов.
    Всего записей: 102 | Зарегистр. 04-10-2006 | Отправлено: 12:49 05-09-2011
    Открыть новую тему     Написать ответ в эту тему

    Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146

    Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Microsoft ISA Server 2006/2004/2000 & TMG/UAG (Часть 4)


    Реклама на форуме Ru.Board.

    Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
    Modified by Ru.B0ard
    © Ru.B0ard 2000-2024

    BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

    Рейтинг.ru