none
ISa Server 2006 и клиенты secure nat правила то работают то нет...

    Вопрос

  • Добрый день. Посоветуйте пожалуста как решить проблемму

    win server 2003. DC AD DHCP DNS + ISA 2006 (по бедности)

    юзерские ноуты + ipad + mac+ blackberry не в домене (в AD только юзеры с паролями для доступов к серверным шарам)

    1 правило (dhcp request from internal to localhost)

    2 правило dhcp reply (from localhost to internal)

    (в dhcp и в dns сделаны настройки wpad (для публикации прокси) но в мониторинге все равно показывает secure nat

    Нужно ли мне 3 разрешающее правило публиковать внутренний dns ? или править в систамной политике?


    почемуто один и тот жа ip сначала показывает proxy (anonimus) а потом securenat////

    4 фильтр запрет url-а facebook c внутренней во внешку (правило должно выполнятся с 10:00 до 19:00 но почемуто иногда в течениидня возможен доступ...

    + те правила которые жестко запрешены не срабатывают ни в одном браузере:

    (у себя проверял на ie, firefox и chrome)

    Да и + пожялуста подскажите как сделать так чтоб прикрыть onlinegames poker и т.д (сделал набор url-ов куда периодически добавляю эти сайты) но как сделать чтоб если встречается слово poker урл бы блокировался?

    И почему то пропадает контакт с почтовым сервером который в другой сети.

    Т.е. telnet к сервреу работает (ответ есть) а сесия оутлука обрывается с ошибкой

    смотрел allerts пишут что  (внутренние ip первысили connection limits) хотя я их не устанавливал. Как можно избежать и этой проблеммы тоже ?


    • Изменено Iraklizh 6 июня 2012 г. 13:43

Ответы

  • а кому и зачем надо "публиковать внутренний dns"? на нем что внешняя зона хостится?

    >>почемуто один и тот жа ip сначала показывает proxy (anonimus) а потом securenat
    это нормально

    >>как сделать чтоб если встречается слово poker урл бы блокировался?
    можно по сигнатуре в http фильтре

    >> смотрел allerts пишут что (внутренние ip первысили connection limits) хотя я их не устанавливал.
    в исе они есть по умолчанию. диагностируй кто и почему их превышает, если это легитимно то увеличивай или вставляй в исключения эти адреса

    • Помечено в качестве ответа Yuriy Lenchenkov 19 июня 2012 г. 12:02
    6 июня 2012 г. 14:56
    Отвечающий
  • Еще один ворос. Усли клиентам (на ноуты) проинсталировать клиента брандмауэра, как они будут подключатся в других сетях?  ПЛЗ еше вопрос у tmg тоже есть клиент брандмауэра?

    Должно работать, иконка в трее будет показывать, что нет подключения к серверу TMG

    у TMG тоже есть клиент


    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий

    13 июня 2012 г. 12:24

Все ответы

  • а кому и зачем надо "публиковать внутренний dns"? на нем что внешняя зона хостится?

    >>почемуто один и тот жа ip сначала показывает proxy (anonimus) а потом securenat
    это нормально

    >>как сделать чтоб если встречается слово poker урл бы блокировался?
    можно по сигнатуре в http фильтре

    >> смотрел allerts пишут что (внутренние ip первысили connection limits) хотя я их не устанавливал.
    в исе они есть по умолчанию. диагностируй кто и почему их превышает, если это легитимно то увеличивай или вставляй в исключения эти адреса

    • Помечено в качестве ответа Yuriy Lenchenkov 19 июня 2012 г. 12:02
    6 июня 2012 г. 14:56
    Отвечающий
  • Внешняя зона не хостится. Но если я убираю 3-е правло (разрешить dns запрос от внутренней сети к локалхосту) то тогда клиенты не получают ip ([чотя первые два правила разрешены)

    Как прописать по сигнатуре в http фильтре (плз можно ссылку на мануал?)

    буду смотреть.

    Спасибо

  • >>Но если я убираю 3-е правло (разрешить dns запрос от внутренней сети к локалхосту)
    так это называется не публикация, а просто правило доступа, если у тебя dns на исе то оно нужно

    >>Как прописать по сигнатуре в http фильтре (плз можно ссылку на мануал?)
    неужто в поисковиках забанили? )) http://technet.microsoft.com/en-us/library/bb838991.aspx

    7 июня 2012 г. 13:08
    Отвечающий
  • У правила на разрешение доступа по протоколу HTTP есть на закладке протоколы - кнопка Фильтрз - там будет HTTP филтр - там же можно и забить запрещённые юрлы по определённым правилам.

    Но на производительность сервера и скорость доступа в интернет это существенным образом скажется - имейте это в виду.

    8 июня 2012 г. 11:49
  • У правила на разрешение доступа по протоколу HTTP есть на закладке протоколы - кнопка Фильтрз - там будет HTTP филтр - там же можно и забить запрещённые юрлы по определённым правилам.

    Но на производительность сервера и скорость доступа в интернет это существенным образом скажется - имейте это в виду.


    если только в урле то не очень, а вот в payload да, иса просядет, поэтому фильтрация payload ограничена первым килобайтом
    8 июня 2012 г. 15:02
    Отвечающий
  • Спасибо! буду посмотреть и спасибо за линк.

    Еше плиз вопрос. Поставил surfCop и IA Monitor, но report всетаки сгенерировал iso-й.

    Как можно получить детальней информацию (т.е. в репорте есть только top sites) а мне нужно все посмотреть. + Как посмотреть кто же пытался пройти на запрешенные мной урлы?

    еше один вопрос всетки почему клиенты web-proxy оторажаются только по ip? Можно ли сделать так чтоб отображались имена компов?

    И еше один вопрос. Скаяал linc 2010 (в рамках ms office 395) но  подключится не могу.

    Это в isa закыто? (skype работает)

    • Изменено Iraklizh 11 июня 2012 г. 12:49
    11 июня 2012 г. 11:16
  • Так если в разрешающем правиле  в фильтре забить facebook то отдельное правило  которое его запрешает убрать или всеж оставить?

    Еще один ворос. Усли клиентам (на ноуты) проинсталировать клиента брандмауэра, как они будут подключатся в других сетях?  ПЛЗ еше вопрос у tmg тоже есть клиент брандмауэра?
    • Изменено Iraklizh 12 июня 2012 г. 10:21
    12 июня 2012 г. 10:04
  • Еще один ворос. Усли клиентам (на ноуты) проинсталировать клиента брандмауэра, как они будут подключатся в других сетях?  ПЛЗ еше вопрос у tmg тоже есть клиент брандмауэра?

    Должно работать, иконка в трее будет показывать, что нет подключения к серверу TMG

    у TMG тоже есть клиент


    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий

    13 июня 2012 г. 12:24
  • Iraklizh, Ваши вопросы актуальны?

    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий

    18 июня 2012 г. 11:24
  • Да! Вопросы актуальны. Спасибо за ваш ответ! Пока настроил заново WPAD. (wpad) Был прописан большими буквами (хотя поначалу и так работало...) теперь смотру ису думаю там не очень корректно настроил прохи. Если все получится то тогда-хорошо и не буду настраивать клиента брандмауэра, хотя понимаю что даже на ноутах всех юзеров в домен и т.д.

    Ой, почемуо в access rule-> protocols -> filtering  кнопка недоступна?

    Смотрел edit-> Application Filter-> активен WebProxy Filter  но какие настроики у web proxy я не вижу...
    • Изменено Iraklizh 27 июня 2012 г. 10:10
    27 июня 2012 г. 9:56
  • Господа! помогите пожалуста! Еше замечен такой глюк, что внезапно рубит интернет...

    (не пров проверял) потом через несколько секунд (иногда минут ) все ок... почему?

    17 июля 2012 г. 13:00