emx Moderator Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Предыдущие части этой темы: 1 + 2 + 3 Microsoft Internet Security & Acceleration Server - сайт производителя - необходимо посетить, начиная работу с ISA Server IsaDocs.Ru - переведенные статьи с IsaServer.Ru - форумы, статьи, решения ISA на iXBT - Хобот, наш конкурент Коллекция ссылок на статьи   Варез Miсrosoft Forefront TMG (ISA)   Назначение и применение сабжа.. Продолжение шапки.. НАСТОЯТЕЛЬНАЯ ПРОСЬБА ВСЕМ КТО ПОСТИТ В ЭТОМ ТОПИКЕ - ЕСЛИ ВЫ РЕШИЛИ ПРОБЛЕМУ САМИ ИЛИ С ПОМОЩЬЮ, УБЕДИТЕЛЬНО ПРОСИМ ВАС ПОДЕЛИТСЯ РЕШЕНИЕМ ВАШЕЙ ПРОБЛЕМЫ - ЖЕЛАТЕЛЬНО РАЗВЁРНУТО И С ОБЬЯСНЕНИЯМИ, В ДАЛЬНЕЙШЕМ ЭТО ПОМОЖЕТ ДРУГИМ ЛЮДЯМ, СТОЛКНУВШИМСЯ С ТЕМИ ЖЕ ПРОБЛЕМАМИ. // текущий бэкап шапки.. Всего записей: 11826 | Зарегистр. 05-06-2002 | Отправлено: 10:54 13-07-2008 | Исправлено: Paromshick, 11:25 30-01-2016

Paromshick Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Тут не надо много букаф. По индустриальном стандарту, IP сущность, прослушивая трафик, в обязательном порядке реагирует на запросы в свой адрес и широковещательные пакеты и, отбрасывая всякие служебные дела, аля заголовки и пр, извлекает полезную нагрузку, и передает её наверх, другой сущности, будь то TCP или UDP или еще кто, которая, в свою очередь решает, что делать. Передать выше, или отвергнуть. Классика.   В данной ситуации, дело в том, что IP сущность слушает, но пакеты до нее не доходят. Или рубятся перед передачей наверх. Там еще кучка уровней и рубить можно на любом этапе не калеча при этом ни вложенность протоколов, ни ОС в целом. Встраиваясь. Производителю это легко. Что TMG с успехом делает. Как конкрено реализовано, я не знаю. Системные программеры могли наваять любой гуанокод и подвесить его драйвером куда угодно. Факт в том, что IP сущность не реагирует на бродкастовый пакет, если смотреть со стороны. ---------- Скучно Всего записей: 3019 | Зарегистр. 12-04-2013 | Отправлено: 18:25 30-08-2015 | Исправлено: Paromshick, 18:26 30-08-2015

bahtey Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Paromshick Да нет, у человека лукавая затея.   Введя в режим блокировки сервер, получаем обычного слушателя и создателя пакетов  всяких (почти).   Замудрить совместную работу драйвера, разрешающего нюхать сервер по локалхосту и при этом сделать его якобы фаерволом. Всего записей: 794 | Зарегистр. 14-12-2006 | Отправлено: 19:02 30-08-2015

Paromshick Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору bahtey Не понял ни разу. Допустим, у меня сервер, на котором я подсадил скуль и некое моё самописное приложние. Серверную часть. В приложение я вложил кучу мозгов и времени. Хочу его охранять, помимо прочего и через ТМГ. И получить кучу бабок. Чтобы клиентская часть увидела сервер, серверу надо получить  и обработать бродкаст. ТМГ не дает. Вопрос. Как сделать так, чтобы дал? Что, где, когда, зачем и пр. оставим на совести разработчика. Тут скорее всего недоработка, больше, чем уверен. Ответьте "как"?   Есть мысль из разряда бубнов. Сделать так, чтобы сервер не считал бродкастом адрес, который клиенты таки считают бродкастом. Проще говоря, разнести их по вложенным подсетям, аля /24 у клиентов и /16 у сервера. Назначить серверу второй адрес не особо сложно. ---------- Скучно Всего записей: 3019 | Зарегистр. 12-04-2013 | Отправлено: 20:05 30-08-2015 | Исправлено: Paromshick, 20:06 30-08-2015

Vxd2000 Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: Факт в том, что IP сущность не реагирует на бродкастовый пакет, если смотреть со стороны.     Как раз наоборот, реагирует, но отрицательно. Если правильно понял фразу про "IP сущность" .   Все таки у меня в данном случае не "вертикальное видение" - со 2 уровеняя на 3 уровень и так далее, а "горизонтальное" - пришел пакет от LocalHost на ....255. И на 3 уровне Tmg drop (deny) его.   Начал уже "смотреть" драйвер. Пока не могу понять как драйвер определяет , что пакет именно broadcast. Наверное IP адрес и netmask, но могу ошибаться, может как последний IP из заданного диапазона. Хотя пробовал ставить 192.168.0.0 - 192.168.0.100 например, все равно от LocalHost на 192.168.0.255 "рубит" .     Попробовал в качестве Internal сделать 192.186.0.0-192.168.1.255, все равно пакет на 192.168.0.255 "рубит" как broadcast.     Взято было отсюда:   https://social.technet.microsoft.com/Forums/ru-RU/e2bbc834-6955-4b3f-b374-9aaa7dd48235/client-ip-ends-with-255-inaccessible?forum=Forefrontedgegeneral Всего записей: 1121 | Зарегистр. 14-11-2002 | Отправлено: 22:56 30-08-2015 | Исправлено: Vxd2000, 00:55 31-08-2015

Vxd2000 Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору По исследованиям, получается, что LocalHost - это отдельная виртуальная сеть.   Пропатчил драйвер.   Что надо работает. Около 5 дней, на Tmg 2010 SP2 пока нормально.   Всем спасибо, кто хотел помочь. Особая благодарность мне самому.   P. S.: Жалко SoftIce под x64 Win 2008R2 не работает. Всего записей: 1121 | Зарегистр. 14-11-2002 | Отправлено: 20:19 01-09-2015 | Исправлено: Vxd2000, 19:21 28-09-2015

Vxd2000 Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Кстати, у кого-нибудь есть проблема доступа к клиентам из сервера за Tmg по NetBios - TCP 139 и TCP 445 портам ? Достаточно много проходит с ввода имени/пароля до "показывания" ресурсов - "расшаренных" папок. Иногда ошибка что нет прав доступа к ресурсам, иногда "заходит" только со 2 или 3 раза.   На сервер клиенты "заходят"  "влет" .   Речь о "1-м" соединении , нет никаких соединений по этим протоколам / портам по net use. Если соединение "ок" , то все нормально.   Хотя это может быть связано не с Tmg, а с Firewall "слоем" : https://ask.wireshark.org/questions/16770/server-2008-send-rst-packet https://msdn.microsoft.com/en-us/library/ff720058.aspx Всего записей: 1121 | Зарегистр. 14-11-2002 | Отправлено: 19:27 28-09-2015 | Исправлено: Vxd2000, 19:42 28-09-2015

fly_indiz Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору cRYSMAS введя в домен упростишь возможность авторизации трафика по доменным юзерам Всего записей: 2620 | Зарегистр. 28-04-2006 | Отправлено: 11:25 06-01-2016

bahtey Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору cRYSMAS сама иса/тмг не дает такой возможности.нужен сторонний софт.   про взлом... есть одно правило, и оно неизменно: запрещено все, что не разрешено - по этому принципу с изначального запуска работает этот шлюз, как в принципе и другой адекватный. Всего записей: 794 | Зарегистр. 14-12-2006 | Отправлено: 15:27 06-01-2016

Paromshick Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Не знаю, откуда взялась эта басня, но TMG вполне понимает группы AD и может по ним авторизовать на прокси. НАТ же по умолчанию закрыт. Другое дело, что надо нарЕзать группы на ТМГ и сопоставить их доменным. А посторонний софт нужен прежде всего для анализа логов. Для чего и нужна авторизация, собственно. Иначе, все в сад НАТ ---------- Скучно Всего записей: 3019 | Зарегистр. 12-04-2013 | Отправлено: 17:18 06-01-2016

bahtey Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору cRYSMAS   traffic quota, bplitter   А самой TMG вы можете по контенту и самим ресурсам только резать. Всего записей: 794 | Зарегистр. 14-12-2006 | Отправлено: 12:50 12-01-2016 | Исправлено: bahtey, 12:53 12-01-2016

Paromshick Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору cRYSMAS Цитата: Paromshick Цитата: Не знаю, откуда взялась эта басня, но TMG вполне понимает группы AD и может по ним авторизовать на прокси. НАТ же по умолчанию закрыт.  Другое дело, что надо нарЕзать группы на ТМГ и сопоставить их доменным.  А посторонний софт нужен прежде всего для анализа логов. Для чего и нужна авторизация, собственно. Иначе, все в сад НАТ Цитата: есть одно правило, и оно неизменно:  запрещено все, что не разрешено - по этому принципу с изначального запуска работает этот шлюз, как в принципе и другой адекватный. И что? Что из сих двух цитат следует? Что-то опровергается? Поправляется? Спрашивается? Пишите яснее, пожалуйста. Никогда бы не подумал, что "распределение трафика в доменной сети", есть ограничение скорости, банальный шейп. Bandwidth Splitter мне понравился, но на вкус и цвет... ---------- Скучно Всего записей: 3019 | Зарегистр. 12-04-2013 | Отправлено: 21:10 12-01-2016

bahtey Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Да как писал Paromshick   Это bSplitter Его и использовал.   по нему, кстати, крайне удобно просматривать любую активность как и вирусную на машинах (в одном месте, бывало, некоторые работники за ночь нароют приключений). Утром стучатся машины наружу.   Ещё б добавил, может не в тему, но:   ProxyInspector   В купе с сплиттером, очень серьезный и удобный анализатор к статистике и определению кому же всё-таки нужно только почту посмотреть, а кому в ВК сидеть. Всего записей: 794 | Зарегистр. 14-12-2006 | Отправлено: 12:32 14-01-2016

TheBarmaley TMP Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору ..добавил в шапку ссылки на все части + причесал чуток.. =) // бэкап ДО правки + текущий бэкап ПОСЛЕ правки # ---------- один из.. шоб было понятно.. =) Всего записей: 4230 | Зарегистр. 10-11-2015 | Отправлено: 09:43 27-01-2016

TheBarmaley TMP Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору ..чуть подрихтовал шапку.. =) // текущий бэкап # ---------- один из.. шоб было понятно.. =) Всего записей: 4230 | Зарегистр. 10-11-2015 | Отправлено: 04:32 30-01-2016

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Microsoft ISA Server 2006/2004/2000 & TMG/UAG (Часть 4)

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование