none
ISA 2006 Enterprise RRS feed

  • Вопрос

  •  

    Коллеги, нужна ваша помощь!

     

    Имеется доменная сеть – AD (DNS, DHCP) , ISA 2006 Enterprise– все на w2ks3 R2.

    Есть две проблемы, может быть одно зависит от другого:

     

    Проблема А)

    На Исе есть всего  правила:

     

    1. Allow – ICQ 2000 – From Internal – To External – IT Groups

    2. Allow – All Outbound Traffic – From Internal – To External – IT Groups

     

    3. Allow – DNS – From Internal – To External – All Users

    4. Allow – All Outbound Traffic – From Internal – To Local Host – All Users

        Allow – All Outbound Traffic – From Local Host – To Internal – All Users

     

    В результате не работает доступ по FTP через IE 6.0, галка «Read Only» снята в свойствах правила № 2. Но этот же FTP работает если использовать Total Commander например, причем без всяких там настроек прокси.

    Что сделать, чтобы FTP работал через IE ???

    В мониторинге, написано что типа «….TCP_SYN_DENIED»

     

     

    Проблема Б)

    На клиенте установлен FWC. ICQ работает без проблем, т.е. не требует настроек подключения.

    Открываю IE, при этом в сво-вах браузера, в подключении стоит «Автоматическая настройка». Веба я не получаю. Если убрать «автоматическая настрока» и поставить «использовать сценарий автоматической настройки» - то инет есть.

     

    5 апреля 2008 г. 15:26

Ответы

  • б) эти галки позволяют файрвол клиенту настраивать ie как прописано на этой влкадке если в свойствах самого fwc стоит галка (стоит по умолчанию), а для для того чтобы автоматическая настройка работала этого мало, ищи на офсайте там уже вагон статей написано, например http://www.microsoft.com/technet/isa/2006/auto_discovery.mspx

     

    ps а за правила 3 и 5 увольнять надо и сразу Smile)

     

    6 апреля 2008 г. 7:37
    Отвечающий

Все ответы

  • А) попробуй поигарть с галками в настройках IE про passive mode и enable folder view

    Б) ты что нить настраивал чтобы автоматическая настройка работала?

     

    ps правило 3 у тебя стоит не там, оно не сработает ибо анонимный трафик dns будет отброшен по второму правилу

    5 апреля 2008 г. 17:34
    Отвечающий
  • Добрый день!

     

    А) галки и прочее не помогло, но на фтп получилось запраться через проводникSmile а через IE так и не получается.

     

    Б) в св-вах "Internal Networks" в св-ах Firewall Client в пунктах:

    "Enable Firewall client support for this network" - стоит галка  и прописано имя исы.

     "Web Browser configuration on the Firewall  client computer" стоит галка 

     

    и все, в этой закладке больше ничего нет. Что нужно еще, что бы заработала на клиентах «Автоматическая настройка»???

     

     

    В) а правила сейчас такие:

       

     1. DNS – allow – DNS, PING, DHCP (reply), DHCP (request) – from all networks – to all networks – all users

    2. Mail for all – Allow – POP3, SMTP - from internal - to external – all users

    3.Inet Local Host - Allow  - all outbound -  from local host - to external – all users

    4.Inet for admin - Allow - all outbound - from internal - to external - IT

    5.local host - Allow - all outbound - from local host - to internal - all users

                     - internal             -   local host

     

    6 апреля 2008 г. 5:53
  • б) эти галки позволяют файрвол клиенту настраивать ie как прописано на этой влкадке если в свойствах самого fwc стоит галка (стоит по умолчанию), а для для того чтобы автоматическая настройка работала этого мало, ищи на офсайте там уже вагон статей написано, например http://www.microsoft.com/technet/isa/2006/auto_discovery.mspx

     

    ps а за правила 3 и 5 увольнять надо и сразу Smile)

     

    6 апреля 2008 г. 7:37
    Отвечающий
  •  

    Ну правило 3 это временно...на момент тестированияSmile)))

    а правило 5 - что не так???

    6 апреля 2008 г. 7:48
  •  

    а зачем оно? Smile
    6 апреля 2008 г. 9:17
    Отвечающий
  • Дефолтное же правило, как же без него???

    6 апреля 2008 г. 16:06
  •  

    "local host - Allow - all outbound - from local host - to internal - all users" это у тебя дефолтное такое?

    я всегда думал что дефолтное это deny all from any to any

    6 апреля 2008 г. 19:55
    Отвечающий
  • Правила №3 и №5 однозначно не нужны в политике брандмауэра. Более того наличие подобных правил говорит о том, что человек их создающий, не понимает логику работы ISA Server в принципе.

     

    Когда в политике брандмауэра присутствует правило вида

    Allow - <какой-либо протокол> - <источник, находящийся во внутренней сети> - <ресурс, находящийся во внешней сети> - <набор пользователей>

    брандмауэр уже знает о том, что запросы пришедшие из внутренней сети на ресурсы из внешней сети по указанному протоколу разрешены, посему брандмауэр (читай LocalHost) автоматически разрешает запросы от себя во внешнюю сеть к запрошенному ресурсу (LocalHost -> External Network) и от себя во внутреннюю сеть к источнику запроса (LocalHost -> Internal Network).

     

    Прошу прощения, но не могу привезти ссылку на документ, в котором об этом вопросе можно узнать более подробно, потому как совершенно не помню, откуда я это знаю

    9 апреля 2008 г. 9:12
  •  

    надеюсь документа в котором такой бред написан не существует Smile ничег оиса автоматом не разрешает, просто надо различать запрос изнутри наружу и запрос от исы куда либо, с ее точки зрения это разные вещи. и если первый она пропустит согласно созданному правилу, то от себя совсем не обязательно.

    и я так думаю что 3 и 5 там были создавны совсем не для этого

    9 апреля 2008 г. 11:57
    Отвечающий
  • Лично я поначалу расценил эти правила, как разрешающие запрашиваемый клиентами трафик от Айсы наружу и внутрь. Это единственное, что пришло мне на ум, потому как разрешать с айсы весь трафик внутрь и наружу для того, чтобы за ней работать пользователю или админу, - в моей голове просто не укладывается.

     

    Трафик от клиентов и от самой айсы я прекрасно различаю. Насчет термина "автоматически разрешает" - это не более чем вынужденное, по моему мнение, упрощение объяснения.

    10 апреля 2008 г. 5:49