none
Блокирование контента на TMG2010 RRS feed

  • Общие обсуждения

  • Здравствуйте. 

    Я создал правило на TMG для блокирования контента. Правило применяется для тех кто имеет ограниченный доступ в интернет и не применяется для тех кто имеет полный доступ.

    Дело в том что правило вообще не работает. Т.е обе группы пользователей могут скачивать контент запрет на который стоит в правиле.

    Непонятно в чем причина. Ниже представлен скриншот.


    22 ноября 2011 г. 7:59

Все ответы

  • Включите логирование и проверьте попадают ли пользователи в это правило. Может быть правило разрешающее интернет всем имеет меньший порядковый номер? Понятие выше/ниже уже не актуально, так как правила могут быть отсортированы по разным критериям. Нужно проверить что запрещающее правило имеет порядковый номер меньше чем правило разрешающее интернет ВСЕМ.
    • Изменено 9RAY 22 ноября 2011 г. 12:12
    22 ноября 2011 г. 11:30
  • Включил логирование. Дело в том что правило Deny идет выше чем правило Allow, т.е выкачка файла происходит по другому правилу которое идет ниже правила Deny. 

    Если правило Deny поставить ниже правила Allow принесет ли это результат?

    Правило Deny идет допустим 24

    А разрешающее правило без фильтра идет 26-ым.

    22 ноября 2011 г. 12:09
  • Да, проверил. 

    Deny 24-ый номер

    Allow 26-ой. 

    Т.е порядковый номер у Deny все-таки выше.

    22 ноября 2011 г. 12:23
  • Если с порядком определились, то необходимо тщательно проверить каждый из критериев запрещающего правила.

     

    1. Protocol: one or more protocol definitions with an outbound direction for the primary connection.
    2. From (source): one or more network objects which can include Network, Network Sets, Computers, Computer Sets, Address Ranges and Subnets.
    3. Schedule:  any schedules defined.
    4. To (destination): one or more network objects which can include Network, Network Sets, Computers, Computer Sets, Address Ranges, Subnets, Domain Name Sets and URL Sets.
    5. Users: one or more user objects which can include All Users, All Authenticated Users, System and Network Service, and any custom defined User Set.
    6. Content groups: any content type set defined.

     

    Запрос пользователя попадёт в Deny правило только при условии соблюдения всех критериев.

    22 ноября 2011 г. 12:38
  • Думаю, здесь тоже ситуация с прямым выходом пользователей в интернет, а не через прокси. В такой конфигурации клиент-сервер это правило не работает.

    23 ноября 2011 г. 3:46
  • Еще не забываем смотреть в логах MIME-content, отдаваемый удаленным сервером. Он может отсутствовать в готовых списках, и тогда соответствующие правила будут работать неверно.
    23 ноября 2011 г. 8:45
  • Не совсем вас понял. Пользователи ходят через прокси, прямой доступ в интернет для них закрыт на сетевом уровне.
    23 ноября 2011 г. 8:58
  • Протокол есть, source есть, время выполнения -всегда, destination -есть, группа правильная, контент выбран.

    Все верно но не работает.

    23 ноября 2011 г. 9:01
  • Ну например zip-tar в готовых списках есть, но закачивается все равно беспрепятственно 
    23 ноября 2011 г. 9:04
  • Ну, тут явно... надо в логи смотреть... Если хоть один параметр запроса не совпадает с условиями правила, то оно не выполняется.

    Если в списках контента есть zip-tar, то это еще ничего не значит, надо конкретно в логах смотреть содержимое поля MIME-content. Может быть там не zip-tar, а какой-нибудь Application/zip-tar

    А может юзера не "опознаются" ? Как настроена аутентификация пользователей ?


    • Изменено Daveant 23 ноября 2011 г. 10:36
    23 ноября 2011 г. 10:36
  • Аутентификация по доменным у.з. Созданы 2 группы в AD. В правило добавлены обе группы но вторая,на которую это правило распространяться не должно, добавлена в исключения
    23 ноября 2011 г. 11:06
  • Вот, именно с группами в AD у меня когда-то ISA 2006 глючила. Поэтому создавал группы в самой исе, а потом туда добавлял доменных юзеров. Не факт, что это поможет, но, возможно стоит попробовать.
    23 ноября 2011 г. 13:25
  • Уважаемый пользователь!
    В вашей теме отсутствует активность в течение последних 5 дней. При отсутствии каких-либо действий в течение 2 последующих дней, тема будет переведена в разряд обсуждений. Вы можете возобновить дискуссию, просто оставив сообщение в данной теме.
    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
    28 ноября 2011 г. 8:52