|
Обмен опытом по ISA Server
|
|
|
|
lexx68 |
Четверг, 04 Апреля 2002, 14:50
|
Участник
Профиль
Группа: Участник
Сообщений: 170
Регистрация: 26.02.2002
Из: Тамбов
Пользователь №: 1447
Конфигурация
Корпус: -- Процессор: -- Материнская плата: -- Оперативная память: -- Видеокарта: -- Жесткий диск (винчестер): -- Дисковод: -- CD/DVD: -- Модем: -- Сетевой адаптер: -- Звуковая плата: -- Монитор: -- Операционная система: -- Прочее: --
|
Для начала хотелось бы разобраться в различиях таких понятих, как Destination Sets и Client Address Sets.
|
|
|
|
|
DobryZzz |
Четверг, 04 Апреля 2002, 17:54
|
Участник
Профиль
Группа: Участник
Сообщений: 95
Регистрация: 24.12.2001
Из: Москвы
Пользователь №: 882
Конфигурация
Корпус: -- Процессор: -- Материнская плата: -- Оперативная память: -- Видеокарта: -- Жесткий диск (винчестер): -- Дисковод: -- CD/DVD: -- Модем: -- Сетевой адаптер: -- Звуковая плата: -- Монитор: -- Операционная система: -- Прочее: --
|
Соответственно получатели и отправители
|
|
|
|
|
lexx68 |
Пятница, 05 Апреля 2002, 7:34
|
Участник
Профиль
Группа: Участник
Сообщений: 170
Регистрация: 26.02.2002
Из: Тамбов
Пользователь №: 1447
Конфигурация
Корпус: -- Процессор: -- Материнская плата: -- Оперативная память: -- Видеокарта: -- Жесткий диск (винчестер): -- Дисковод: -- CD/DVD: -- Модем: -- Сетевой адаптер: -- Звуковая плата: -- Монитор: -- Операционная система: -- Прочее: --
|
Вопрос №2. А как отделаться от триальности? Во избежание нарушения закона о лицензировании в общественном месте (форум) ответы можно писать сразу на моё мыло libr@libr.nnn.tstu.ru
|
|
|
|
|
lexx68 |
Пятница, 05 Апреля 2002, 8:44
|
Участник
Профиль
Группа: Участник
Сообщений: 170
Регистрация: 26.02.2002
Из: Тамбов
Пользователь №: 1447
Конфигурация
Корпус: -- Процессор: -- Материнская плата: -- Оперативная память: -- Видеокарта: -- Жесткий диск (винчестер): -- Дисковод: -- CD/DVD: -- Модем: -- Сетевой адаптер: -- Звуковая плата: -- Монитор: -- Операционная система: -- Прочее: --
|
Вопрос №3. В доступах к внешним сайтам пишу такие Рулисы. 1. Доступ ко всем сайтам. 2. На сайты по списку 1 запретить доступ совсем. 3. Для всех сайтов запретить доступ для файлов типа архив, музыка, видео.
Доступы 1 и 3 впринципе пересекаются. Сервер поймет что я хотел ему сказать?
|
|
|
|
|
Beerkoff |
Понедельник, 08 Апреля 2002, 15:29
|
Администрация
Профиль
Группа: WinCity Team
Сообщений: 895
Регистрация: 04.02.2001
Из: Санкт-Петербург
Пользователь №: 26
Конфигурация
Корпус: -- Процессор: Другой Материнская плата: ASUS Оперативная память: -- Видеокарта: -- Жесткий диск (винчестер): -- Дисковод: Нет дисковода CD/DVD: -- Модем: -- Сетевой адаптер: -- Звуковая плата: -- Монитор: -- Операционная система: -- Прочее: --
|
для того чтобы понять будет ли разрешено данное подлючение или нет, происходит следующее: 1. в разделе sites & cont rules проверяется нет ли запрещения на данный доступ, если запрещения нет, то проверяется есть ли разрешения 2. если в разделе 1 есть разрешение, то проверяется protocol rules нет ли запрещения на использование данного протокола, если нет, то проверяется разрешение 3. в случае положительного разрешения в разделе 2 дается доступ на подключение
|
|
|
|
|
lexx68 |
Вторник, 09 Апреля 2002, 16:07
|
Участник
Профиль
Группа: Участник
Сообщений: 170
Регистрация: 26.02.2002
Из: Тамбов
Пользователь №: 1447
Конфигурация
Корпус: -- Процессор: -- Материнская плата: -- Оперативная память: -- Видеокарта: -- Жесткий диск (винчестер): -- Дисковод: -- CD/DVD: -- Модем: -- Сетевой адаптер: -- Звуковая плата: -- Монитор: -- Операционная система: -- Прочее: --
|
Начал более менее разбираться что куда. Оказывается Help довольно полный, но английский. Отсюда следствие вспомнил Английский. Дело пошло. Но вдруг появилась проблема, которой не должно быть. Стоит Триальный ISA server. (Может в этом проблема?!) Инет для внутренней сети работает. Прописаны Разрешение на протокол TCPIP, расрешение на доступ к внешним сайтам. В фильтрах IP пакетов TCPIP полный доступ в обе стороны по всем портам. Ставлю запрет на content Video для внутренних компов на внешние сайты. (Остальное не трогаю) Или убираю из content - Video в протоколах. По идее должно быть. Гружу IE. он обращается к HTML. следовательно смотрит логику фильтрования в таком порядке: 1. Находит разрешение для протокола TCPIP. 2. Запрет на Видео для сайтов не срабатывает, потому что щас смотрится другой content в разделе site and content rule. 3. Находит разрешение для Документов HTML в разделе site and content rule. 3. Не находит блокировки в IP filters. 4. Идет по direct conect на сайт. На самом деле: IE говорит что доступ закрыт!
|
|
|
|
|
Beerkoff |
Среда, 10 Апреля 2002, 23:32
|
Администрация
Профиль
Группа: WinCity Team
Сообщений: 895
Регистрация: 04.02.2001
Из: Санкт-Петербург
Пользователь №: 26
Конфигурация
Корпус: -- Процессор: Другой Материнская плата: ASUS Оперативная память: -- Видеокарта: -- Жесткий диск (винчестер): -- Дисковод: Нет дисковода CD/DVD: -- Модем: -- Сетевой адаптер: -- Звуковая плата: -- Монитор: -- Операционная система: -- Прочее: --
|
IP Packet filters здесь вообще не причем это настройки правил для работы внешнего интерфейса для работы самого интернета у тебя есть встроенный WebProxy по умолчанию у тебя в разделе S&C rules все разрешено просто создай еще одно правило в котором запрети контентно Video как я уже писал запреты имеют приоритет перед разрешениями все должно работать нормально если не работает - подробнее описывай конфигурацию
|
|
|
|
|
lexx68 |
Среда, 10 Апреля 2002, 15:33
|
Участник
Профиль
Группа: Участник
Сообщений: 170
Регистрация: 26.02.2002
Из: Тамбов
Пользователь №: 1447
Конфигурация
Корпус: -- Процессор: -- Материнская плата: -- Оперативная память: -- Видеокарта: -- Жесткий диск (винчестер): -- Дисковод: -- CD/DVD: -- Модем: -- Сетевой адаптер: -- Звуковая плата: -- Монитор: -- Операционная система: -- Прочее: --
|
Весь прикол в том что вчера не работало, а сегодня всё сработало..... Тогда такой вопрос. Можно ли сделать запрет по маске? Запретить *sex*.* или что то в этом роде?
|
|
|
|
|
Beerkoff |
Пятница, 12 Апреля 2002, 13:22
|
Администрация
Профиль
Группа: WinCity Team
Сообщений: 895
Регистрация: 04.02.2001
Из: Санкт-Петербург
Пользователь №: 26
Конфигурация
Корпус: -- Процессор: Другой Материнская плата: ASUS Оперативная память: -- Видеокарта: -- Жесткий диск (винчестер): -- Дисковод: Нет дисковода CD/DVD: -- Модем: -- Сетевой адаптер: -- Звуковая плата: -- Монитор: -- Операционная система: -- Прочее: --
|
нужно в policy elements - contents group добавить соответствующую информацию, потом создать в S&C rules нужные запреты сам я правда этого не делал - но должно работать
|
|
|
|
|
lexx68 |
Пятница, 12 Апреля 2002, 13:40
|
Участник
Профиль
Группа: Участник
Сообщений: 170
Регистрация: 26.02.2002
Из: Тамбов
Пользователь №: 1447
Конфигурация
Корпус: -- Процессор: -- Материнская плата: -- Оперативная память: -- Видеокарта: -- Жесткий диск (винчестер): -- Дисковод: -- CD/DVD: -- Модем: -- Сетевой адаптер: -- Звуковая плата: -- Монитор: -- Операционная система: -- Прочее: --
|
Хм.... КАк то не догадался. Маску *.server.ru уже использую, а *Секс*.* не попробовал.... А вот странно почемуто не применился запрет на тип информации.... Установил запрет для всех сайтов с HTTP content Audio, Video, Compression files. А он не срабатывает. Пробовал свой тип создать, куда включил .mp3 , .rar , .zip , .exe Но не получилось. Всёравно такие типы файлов открываются и сохраняются. . Непонятненько.....
|
|
|
|
|
|
Понедельник, 15 Апреля 2002, 8:18
|
Профиль
Группа:
Сообщений:
Регистрация: --
Пользователь №:
Конфигурация
Корпус: -- Процессор: -- Материнская плата: -- Оперативная память: -- Видеокарта: -- Жесткий диск (винчестер): -- Дисковод: -- CD/DVD: -- Модем: -- Сетевой адаптер: -- Звуковая плата: -- Монитор: -- Операционная система: -- Прочее: --
Предупреждение: (0%)
|
А не подскажете нужно ли устанавливать AD перед установкой ISA server?
|
|
|
|
|
lexx68 |
Понедельник, 15 Апреля 2002, 9:46
|
Участник
Профиль
Группа: Участник
Сообщений: 170
Регистрация: 26.02.2002
Из: Тамбов
Пользователь №: 1447
Конфигурация
Корпус: -- Процессор: -- Материнская плата: -- Оперативная память: -- Видеокарта: -- Жесткий диск (винчестер): -- Дисковод: -- CD/DVD: -- Модем: -- Сетевой адаптер: -- Звуковая плата: -- Монитор: -- Операционная система: -- Прочее: --
|
Нет не обязательно. Isa может и на обычном сервере работать, только сможет он меньше. А с AD он работает в интегрированном режиме
|
|
|
|
|
Сергей |
Среда, 17 Апреля 2002, 7:47
|
Участник
Профиль
Группа: Участник
Сообщений: 344
Регистрация: 12.10.2001
Из: Пермская область
Пользователь №: 448
Конфигурация
Корпус: -- Процессор: -- Материнская плата: -- Оперативная память: -- Видеокарта: -- Жесткий диск (винчестер): -- Дисковод: -- CD/DVD: -- Модем: -- Сетевой адаптер: -- Звуковая плата: -- Монитор: -- Операционная система: -- Прочее: --
|
Не совсем понял на счет масок *секс*.* Попробовал не получилось Если можно приведите хотя бы один пример.
|
|
|
|
|
|
Среда, 17 Апреля 2002, 8:11
|
Профиль
Группа:
Сообщений:
Регистрация: --
Пользователь №:
Конфигурация
Корпус: -- Процессор: -- Материнская плата: -- Оперативная память: -- Видеокарта: -- Жесткий диск (винчестер): -- Дисковод: -- CD/DVD: -- Модем: -- Сетевой адаптер: -- Звуковая плата: -- Монитор: -- Операционная система: -- Прочее: --
Предупреждение: (0%)
|
а как заставить ISA пускать только зарегистрированных пользователей, т.е. нужно чтобы пользователь при запуске компа вошел в домен и потом чтобы никто пароль у него не спрашивал?
|
|
|
|
|
Сергей |
Среда, 17 Апреля 2002, 9:15
|
Участник
Профиль
Группа: Участник
Сообщений: 344
Регистрация: 12.10.2001
Из: Пермская область
Пользователь №: 448
Конфигурация
Корпус: -- Процессор: -- Материнская плата: -- Оперативная память: -- Видеокарта: -- Жесткий диск (винчестер): -- Дисковод: -- CD/DVD: -- Модем: -- Сетевой адаптер: -- Звуковая плата: -- Монитор: -- Операционная система: -- Прочее: --
|
В Access policy -> Protocol Rules создать Protocol Rule и в свойствах Applies To прописать учетные записи
|
|
|
|
|
|
Среда, 17 Апреля 2002, 23:00
|
Профиль
Группа:
Сообщений:
Регистрация: --
Пользователь №:
Конфигурация
Корпус: -- Процессор: -- Материнская плата: -- Оперативная память: -- Видеокарта: -- Жесткий диск (винчестер): -- Дисковод: -- CD/DVD: -- Модем: -- Сетевой адаптер: -- Звуковая плата: -- Монитор: -- Операционная система: -- Прочее: --
Предупреждение: (0%)
|
сделал вроде работает, но сомнения остались В Access policy -> Protocol Rules создать Protocol Rule и в свойствах Applies To прописл группу Proxy user1 член группы Proxy доступ есть user2 не входит в группу Proxy доступа нет вроде все нормально, но удаляю user1 из группы proxy, а доступ всеравно есть... может это вопрос времени? и еще вопрос где можно найти документацию по ISA на русском языке?
|
|
|
|
|
Сергей |
Среда, 17 Апреля 2002, 12:37
|
Участник
Профиль
Группа: Участник
Сообщений: 344
Регистрация: 12.10.2001
Из: Пермская область
Пользователь №: 448
Конфигурация
Корпус: -- Процессор: -- Материнская плата: -- Оперативная память: -- Видеокарта: -- Жесткий диск (винчестер): -- Дисковод: -- CD/DVD: -- Модем: -- Сетевой адаптер: -- Звуковая плата: -- Монитор: -- Операционная система: -- Прочее: --
|
|
|
|
|
|
|
Среда, 17 Апреля 2002, 13:05
|
Профиль
Группа:
Сообщений:
Регистрация: --
Пользователь №:
Конфигурация
Корпус: -- Процессор: -- Материнская плата: -- Оперативная память: -- Видеокарта: -- Жесткий диск (винчестер): -- Дисковод: -- CD/DVD: -- Модем: -- Сетевой адаптер: -- Звуковая плата: -- Монитор: -- Операционная система: -- Прочее: --
Предупреждение: (0%)
|
Сейчас обнаружил что после того как а как заставил ISA пускать только зарегистрированных пользователей, у меня перестал работать NetVampire и другие подобные программы для скачки файлов, кто нидь знает как это вылечить?
|
|
|
|
|
real |
Четверг, 18 Апреля 2002, 3:55
|
Участник
Профиль
Группа: Участник
Сообщений: 19
Регистрация: 25.03.2002
Из: Абакан РХ
Пользователь №: 1702
Конфигурация
Корпус: -- Процессор: -- Материнская плата: -- Оперативная память: -- Видеокарта: -- Жесткий диск (винчестер): -- Дисковод: -- CD/DVD: -- Модем: -- Сетевой адаптер: -- Звуковая плата: -- Монитор: -- Операционная система: -- Прочее: --
|
не заню как НетВампиров, в Reget, когда ставишь брать настройки из бравзера, он не тянет файлы. Ннжно ставить ввести настройки в ручную, писать прокси_сервер:порт, логин и пароль. Причем если ISA стоит в AD, то и логин надо указывать доменлогин
|
|
|
|
|
real |
Четверг, 18 Апреля 2002, 4:10
|
Участник
Профиль
Группа: Участник
Сообщений: 19
Регистрация: 25.03.2002
Из: Абакан РХ
Пользователь №: 1702
Конфигурация
Корпус: -- Процессор: -- Материнская плата: -- Оперативная память: -- Видеокарта: -- Жесткий диск (винчестер): -- Дисковод: -- CD/DVD: -- Модем: -- Сетевой адаптер: -- Звуковая плата: -- Монитор: -- Операционная система: -- Прочее: --
|
Вот какой вопрос меня гнетет не первыю неделю. НЕ РАБОТАЕТ почта через ИСУ, не работает ни POP3, ни SMTP, хотя протоколы открыты все. OutExpress пишет: Узел 'mail.khakasia.ru' не найден. Проверьте введенное имя сервера. Учетная запись: 'real@khakasia.ru', Сервер: 'mail.khakasia.ru', Протокол: POP3, Порт: 110, Защита (SSL): Нет, Ошибка сокета: 11001, Номер ошибки: 0x800CCC0D
|
|
|
|
|
Egor |
Четверг, 18 Апреля 2002, 18:43
|
reader
Профиль
Группа: Профессионалы
Сообщений: 4172
Регистрация: 29.03.2001
Из: Подмосковья
Пользователь №: 55
Конфигурация
Корпус: ASCOT Premium Edition 500 Wt Процессор: Core2 Duo/Extreme Материнская плата: ASUS P5K Deluxe Оперативная память: (4x1G) PC2-6400 800MHz DDR2 Kingston Видеокарта: ATI Radeon HD 4730 Жесткий диск (винчестер): (2x1TB) Western Digital WD10EADS Green Power Дисковод: Нет дисковода CD/DVD: DVD-RW Lite-on iHAS124-19 SATA Модем: -- Сетевой адаптер: -- Звуковая плата: -- Монитор: Acer AL2216W Операционная система: Win7 x64 Pro Прочее: --
|
1. Фаервол клиент стоит? Если нет, поставь. 2. В фильтрах для HTTP и POP3 создай 2 правила:
IP Packet Filters: POP3 на "Вход" Filter Type - Custom IP protocol - TCP Direction - Inbound Local port - Fixed port Local port number - 110 Remote port - All ports Local Computer - This ISA servers's external IP address "указать IP внешней карточки" Remote Computer - All remote computers
POP3 на "Выход" Filter Type - Custom IP protocol - TCP Direction - Outbound Local port - All ports Remote port - Fixed port Local port number - 110 Local Computer - Default IP address(es) on the external interface(s) Remote Computer - All remote computers
Аналогично и для HTTP.
|
|
|
|
|
|
Пятница, 19 Апреля 2002, 7:30
|
Профиль
Группа:
Сообщений:
Регистрация: --
Пользователь №:
Конфигурация
Корпус: -- Процессор: -- Материнская плата: -- Оперативная память: -- Видеокарта: -- Жесткий диск (винчестер): -- Дисковод: -- CD/DVD: -- Модем: -- Сетевой адаптер: -- Звуковая плата: -- Монитор: -- Операционная система: -- Прочее: --
Предупреждение: (0%)
|
to Real: Причем если ISA стоит в AD, то и логин надо указывать доменлогин не помогает to Egor: а как сделать чтоб без клиента работало?, ведь когда включаю правило "всех пускать" все работает, а когда "пускаь только зарегистрированных пользователей" то POP3 и SMTP не работает(без клиента), но HTTP работает и без клиента...
|
|
|
|
|
Egor |
Пятница, 19 Апреля 2002, 23:03
|
reader
Профиль
Группа: Профессионалы
Сообщений: 4172
Регистрация: 29.03.2001
Из: Подмосковья
Пользователь №: 55
Конфигурация
Корпус: ASCOT Premium Edition 500 Wt Процессор: Core2 Duo/Extreme Материнская плата: ASUS P5K Deluxe Оперативная память: (4x1G) PC2-6400 800MHz DDR2 Kingston Видеокарта: ATI Radeon HD 4730 Жесткий диск (винчестер): (2x1TB) Western Digital WD10EADS Green Power Дисковод: Нет дисковода CD/DVD: DVD-RW Lite-on iHAS124-19 SATA Модем: -- Сетевой адаптер: -- Звуковая плата: -- Монитор: Acer AL2216W Операционная система: Win7 x64 Pro Прочее: --
|
Если хочешь пускать только юзверей домена, то без клиента никак. Ты не путай вэб и фаервол. HTTP у тебя, "пользует" IE, а он умеет сам авторизироваться + в настройках ты ему указываешь шлюз (т.е. IE самодостаточная софтина). Все остальное ( в том числе, POP3 и SMTP) ходит через фаервол и в большинстве случаев ничего этого не умеет. Для этого предназначен клиент.
|
|
|
|
|
|
1 чел. читают эту тему (1 Гостей и 0 Скрытых Пользователей)
|
0 Пользователей:
|
|
© Copyright by WinCity.Ru 2001 - 2008 | Обратная связьУслуги веб-хостинга предоставлены компанией MTW.RU
|
|