Приветствую всех.
У меня неболльшая проблемка. На клиентах не работают команды ping, tracert, pathping, в то время как на самом ИСА-сервере все пашет. Не подскажите в чем может быть загвоздка. Может чего не до открыл.

IP Packet Filters - Properties - Enable IP routing поставить галку.

Спасибо огромное заработало.

Как избавится от назойливого окна авторизации при посещении сайтов содержащих заблокированные баннеры и в то же время не пускать анонимных пользователей? Клиенты работают через Web Proxy.
Firewall Client не используется. Outgoing Web Request - Use The same listener configuration.
Ask unauthenticated users- снято.
В Site & Contens активированы правила разрешающее пользователям домена посещать любые сайты и стоит блокировка сайтов баннерных сетей.
Из Protocol Rules разрешен HTTP, HTTPS, DNS Query & transfer и почтовые протоколы.

У меня помимо ISA есть еще и Linux'совая тачка-фаер+почта. (Внешний интерфейс\IP=194.226.218.xx; Внутренний 192.168.0.1) На иса соответственно Внешняя карта 192.168.0.3 и Внутренняя 192.168.137.ххх.
Так вот этот 192.168.0.3 у меня подставляется в почте.
В заголовках почты в поле Received. Можно ли это скрыть ??
--
И еще у меня снова перестали работать ping'и на клиентах, включая меня где разрешен весь трафик.
Галка IP Routing стоит.

Сообщение отредактировал Znake - Пятница, 19 Декабря 2003, 3:25

Fоrever
При использовании блэклиста, чтобы не появлялось окно с запросом пароля нужно сделать вот что:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\W3proxy\Parameters
On the Edit menu, click Add Value, and then add the following registry value:
Value Name: ReturnDeniedIfAuthenticated
Data Type: REG_DWORD
Radix: Hex
Value Data: 1

Fоrever, или в ISA в Site and Contets в закладке Actions не просто поставить галочку Deny но и сделать redirect to http:// (Пустой). У меня так установлено и ни с кого не спрашивает логин пасс..

Спасибо , вроде заработало..
Только я в сомнениях...
Смотрю GFI WebMonitor на текущие сеансы пользователей и недоумеваю..
Постоянно промелькивает строка unautorizated...как раз напротив баннерных и порнушных сайтов..
И в логе рябит от анонимусов.. Анонимные запросы обрабатываются со статусом 407. То есть требуют авторизации...Я так понял что ISA такие запросы не пущает. Тогда откуда мегабайты трафика полученные локальными IP? И еще пришлось стартануть файервол. Не скажу зачем. Нужен стал...Для банк - клиентского софта. Так воот обнаруживаю в списке сессий запись типа SYSTEM\userName. ОКазалось что в инет щемятся клиент Нортона Антивируса. А это не нужно. Потомучто локальный LiveUpdate организован и клиенты на него настроены..Поправил файлик mspclnt.ini дабы отвадить несанкционированные обновления. Да только не не переносится изменения в нем на клиентские компы. Как решить проблему?

А пинги все равно не работают.
А ведь работали...
Поставил ИСУ с нуля... вроде работали.. Потом перестали... НЕ ужели все с нуля ставить
--
Кто-нибуть сталкивался с проблемой Автоматического определения ISA Servera в Ф.Клиенте? Он у меня почему то не хочет работать.
В ДНС прописал WPAD=ISAserver, в DHCP тоже прописла параметр 252, хотя вроде и без него должно работать.. АвтоДискавери по 80 включил.(в свойствах ИСА). Подскажите плз.
ps: Веб заработал только по скрипту.

Сообщение отредактировал Znake - Вторник, 23 Декабря 2003, 5:47

У меня юзвери не могли попасть в инет потому что требовался пароль на узел wpad

Так и не заработало авто определение, поэтому забил на него, запретил редирект запросов с фаервол-клиента на вэб-прокси..
щас заходят..

Отвечаю на свои собственные вопросы.
С пингами оказалось все проще. Помимо галочки нужно что бы на клиентах был прописан маршрут (route add 0.0.0.0 mask 0.0.0.0 "например 192.168.137.1=IP_ISA" metric 1)
По поводу Авто определения оказалось не все так просто. Оно работало только для клиетов домена. И не работает на Notebook'e шефа которые не входит в домен.

ps: Расскажите как настроить блок лист.
pps: Кто-нибуть юзал LANguadr for ISA ?

Сообщение отредактировал Znake - Среда, 14 Января 2004, 14:55

Znake,

Цитата

Расскажите как настроить блок лист

Заходишь в Policy Elements-Destination Set, создаешь новый, куда и прописываешь, чего закрывать.
Например *adriver*. Где то здесь на форуме по-моему bug выкладывал список баннерных сетей.
Потом идешь в Site and Content Rules, где создаешь правило, в котором и выбираешь, какое действие применить для этого Destination, по какому расписанию и для каких юзеров.
Удачи...

Вот подскажите тупому как разрешить доступ юзеров только к сайтам непосредственно связанным с их трудовой деятельностью? Потому что я запарился запрещать всякие развлекательно-увеселительные сайты которые сжирают кучу траффика. Сделал правило All Block запрещающее All external destination для всех юзеров кроме админов. И еще парочку разрешающих destination set на рабочие сайты для юзеров. Понятное дело никуда зайти они не смогли, потому что согласно алгоритму запроса из локалки запрет имеет более высокий приоритет.
Пришлось поменять в All Block All external destination на All destinations except selected set, исключить из запрета рабочие сайты. Но этот вариант меня не устраивает потому что как ни крути а одним списком сайтов не обойтись, нужно учесть специфику юзера, его взаимоотношения с начальством , расписание и протоколы...
Пробовал сделать по другому.. Убрал всезапрещаещее правило на сайты. И добавил несколько разрешающих для юзеров. Плюс вырезание баннеров, порно, мультимедиа контента и флешей..
Все бы хорошо но.. Когда подопытный пользователь заходит допустим на всякие www.1c.ru и прочее выскакивают окна авторизации. Конечно можно пару раз нажать ESC , но юзер от этого в шоке. Ведь не могу я предусмотреть всех баннеров и счетчиков которые висят на сайтах.
Естественно что не найдя ни в запрещенных ни в разрешенных сайтах этих паразитирующих ссылок и поскольку правило allow rule, разрешающее все сайты админу существует, служба WebProxy требует авторизации. Как мне обойти эту проблему? Может я в чем то не прав? Понимаю что вопрос затрагивает темы моих предыдущих постов, но хотелось бы уточнить и так сказать угулубить вопрос.

Сообщение отредактировал Fоrever - Понедельник, 19 Января 2004, 9:38

Fоrever, мы выше обсуждали, как избавиться от этого окошка авторизации.
Не помогает что ли???

Так дело то в чем...
Если существует правило запрета на допустим баннерный сайт и стоит redirect to http:// то все работает:) А вот если такой сайт нигде не указан...То есть его нет не в списке запрещенных, не в списке разрешенных...Вот смотрю в логе ISA что при загрузке страницы подгружаются всякие spylog.ru, hotlog.ru и еще бог весть чего .ru..Оно конечно не трудно и добавить, но контенты сайтов меняются ... Я просто буду постоянно затыкать эти ссылки...А ведь хотелось всего лишь, согласно велениям руководства, перекрыть доступ на все сайты одним махом. И разрешать по мере необходимости. Может что то не понял я в принципе организации доступов посредством Site & Content Rules. Неужели никто не решал столь тривиальную задачу, или только у меня руководство трясется над каждым мегабайтом.

Прочитал в самом начале топика
Мини-руководство по ISA, зато на русском.
Для ищущих русское описание на ISA сразу сообщаю, что такого в природе пока не существует.
Пишите на мыло скину....

Цитата

Для ищущих русское описание на ISA сразу сообщаю, что такого в природе пока не существует.

Здесь куча статей на русском http://www.isaserver.ru/
http://www.insar.net/for_admin/isa/kurs.htm - перевод официального пособия по курсу MCSA/MCSE

Нароод!!! Спасайте.

Ситуация следующая. ISA в режиме firewall+proxy.
Внутренняя сетевуха 192.168.0.240
Внешняя 192.168.100.240 (втыкается в главный firewall на FreeBSD, который уже светит в инет).

Нужно чтобы с внешнего интерфейса были видны реальные IP внутренней подсети.

Если в LAT добавлен только внутренний интерфейс (диапазон 192.16.0.0-192.168.0.254), все нормально,но все пакеты на головной firewall идут с IP 192.168.0.240.

Если в LAT добавить внешний интерфейс (192.168.100.0-192.168.100.254), пакеты идут с реальным IP, но естественно не фаерволит firewall.

Как бы и рыбку съесть и .... ну вы поняли?

P.S. Надо именно так, поскольку головной firewall регулирует пропускную способность канала для конкретных товарищей и групп товарищей.

Наверное избитая тема .. но в поиске ничего не нашел ...................

Читал в нескольких местах ...... что ISA на контролере домена есть плохая идея .......... но в что тут плохого если ISA все прикрывает ... все порты закрывает ...... (на улице) ... то есть security остаеться на нормальном уровне ...... ??

Нагрузка большая в любом случае - а на контролер домена она и так может быть очень нехилой - в зависимости от размеров сети, конечно. Кроме того, проверено практикой - под каждый сервер лучше отдельную машину ставить - что не всегда доступно экономически (финансово), но 100% выгодно и удобно практически.

Цитата

под каждый сервер лучше отдельную машину ставить - что не всегда доступно экономически (финансово), но 100% выгодно и удобно практически

Ну это все понятно .........
Ну к примеру сервер потянет (тут нет сомнений) .... а вот как дела с безопасностью .... ??
Если должным образом настроить и резервный доменный контроллер ..... ??

И кстати не нашел Системные требования к контролеру домена ....... кем он должен быть ?

Levon, честно говоря, IMHO лучше выносить такие вещи отдельно и разруливать аи пи адресами а не пользователями т.к машина смотрящая наружу имеющая списки пользователей и хеш пароли (пусть даже все будет закрыто ) не есть гуд. хотя , повторюсь, возможно я не прав

Вчера заметил у Microsoft новый сервиспак для ISA сервера .......

http://download.microsoft.com/download/e/3.../isasp2-ENU.exe

Так что качайте кто не в курсе .....
Кстати я у себя поставил ..... пока ниче ..... работает ......

Подскажите чайнику!
У меня стоит ISA на W2000 Server, клиенты - W2000 Prof, стоит свой почтовый сервак (Exchange 2000). И вдруг понадобилось получать почту с сервера провайдера. Компы во внутренней сети не могут пинговать сервак провайдера (как и все остальные компы снаружи), соответственно и почту забирать не получается.
В настройках ISA поставил галку IP Packet Filters - Properties - Enable IP routing. Но ping'и стали идти только со второго сервака, с клиентов так и не идут.
Что мне нужно сделать для того, чтобы клиенты могли забирать почту со внешнего сервера???

Дело тут не в пинге
Тебе надо разрешить на ISA сервере POP3 протокол (110 порт) на outgoing. и все ........

Немного уточню, 110 и 25 порт нужно в Protoсol rules открыть (т.е. собсна открыть протокол POP3 и SMTP).
И поставить FireWall Client (не нужен в случае, если у тебя NAT клиенты).

Сообщение отредактировал Jeremiah - Среда, 30 Июня 2004, 9:32

http://www.internetaccessmonitor.ru/rus/pr...ducts/articles/

Доброго времени суток! ISA-шные логи за пару лет на сервачке стали занимать неприлично много места. Вот думаю, как их сархивить, а с сервера удалить? Подскажите, плз...

А в чем проблема? RAR, и можешь удалять совершенно безболезненно до текущего дня.

хех, да чего-то грит, что "заняты файлики приложением".... хотя все службы, связанные с ISA, останавливаю...