none
Странная работа правил доступа... RRS feed

  • Вопрос

  • В сети стоит ИСА 2006 с обновлениями, на клиенском компьютере установлен последняя версия клиента ИСЫ.
    При попытке установить связь с банком из программы клиент-банк выскакивает сообщение о недоступности Интернета или блокировке порта 443.
    На ИСЕ в журнале вижу вот что:
    IP адрес назначения - адрес ИСЫ (почему?); Порт назначения - 443; Протокол - SSL-tunnel; Действие - Отклоненное соединение; Правило - Правило по умолчанию; IP-адрес клиента - 192.168.0.50; Имя пользователя - DOMAIN\BankUser; Исходная сеть - Внутренняя, Сеть назначения - Внешняя.
    Почему этот траффик попадает под действие последнего правила, если вторым правилом в политиках стоит Разрешить ВесьИсходящий от этого компьютера во внешнюю сеть для всех пользователей?
    17 января 2008 г. 7:56

Ответы

  • Я нашел, в чем было дело - мне кучу проблем решило снятие галки "Блокировать запросы, содержащие неоднозначные расширения" на вкладке "Расширения" настроек HTTP!
    И клиент банк поднялся, и карты Яндекса стали загружаться и остальные странички, которые загружались, но не полностью.
    25 января 2008 г. 14:17

Все ответы

  • Запрещающее правило всегда имеет более высокий приоритет.

    17 января 2008 г. 10:08
  • А порядок действия правил  уже отменили? Smile
    Разрешающее правило для всего исходящего траффика от этого компьютера во внешнюю сеть для всех пользователей стоит вторым (после разрешающего ДНС-запросы от ДС во внешнюю сеть), а правило по умолчанию Запретить ВСЕ - последним.
    17 января 2008 г. 10:28
  • Отклоненное соединение ISA 17.01.2008 14:19:55
    Тип журнала: Веб-прокси (прямой)
    Состояние: 12202 ISA Server отклонил указанный URL-адрес.  
    Правило: Правило по умолчанию
    Источник: Внутренняя (192.168.0.50)
    Назначение: Внешняя (192.168.0.5:443)
    Запрос: bctrans.mcb.ru:443
    Информация фильтра: Req ID: 00c4d77e; Req ID: 00c4d77e; Compression: client=No, server=No, compress rate=0% decompress rate=0%, Compression: client=No, server=No, compress rate=0% decompress rate=0%
    Протокол: SSL-tunnel
    Пользователь: DOMAIN\BankUser

    Не понятно, почему Назначение: Внешняя (192.168.0.5:443) ??? Это же адрес внутренней NIC на ИСЕ...
    17 января 2008 г. 11:41
  • Клиент-банк чей?

    В самом клиент-банке что-нибудь настраивали?

    17 января 2008 г. 12:16
  • Клиент-банк чей?
    В смысле? Какого банка? Не совсем понял, какая разница...
    Задача ведь разрешить определенный траффик от конкретной машины во внешнюю сеть, без использования фильтра приложений...
    В самом клиент-банке что-нибудь настраивали?

    Да, пробовал указать имя пользователя и пароль на подключение к веб-прокси. Не помогло.
    18 января 2008 г. 7:45
  •  Asv написано:
    В сети стоит ИСА 2006 с обновлениями, на клиенском компьютере установлен последняя версия клиента ИСЫ.
    При попытке установить связь с банком из программы клиент-банк выскакивает сообщение о недоступности Интернета или блокировке порта 443.
    На ИСЕ в журнале вижу вот что:
    IP адрес назначения - адрес ИСЫ (почему?); Порт назначения - 443; Протокол - SSL-tunnel; Действие - Отклоненное соединение; Правило - Правило по умолчанию; IP-адрес клиента - 192.168.0.50; Имя пользователя - DOMAIN\BankUser; Исходная сеть - Внутренняя, Сеть назначения - Внешняя.
    Почему этот траффик попадает под действие последнего правила, если вторым правилом в политиках стоит Разрешить ВесьИсходящий от этого компьютера во внешнюю сеть для всех пользователей?

     

    Обратите внимание на отмеченные места. Ваше правило должно быть From: Internal To: External

     

     

    18 января 2008 г. 11:07
    Модератор
  • Я нашел, в чем было дело - мне кучу проблем решило снятие галки "Блокировать запросы, содержащие неоднозначные расширения" на вкладке "Расширения" настроек HTTP!
    И клиент банк поднялся, и карты Яндекса стали загружаться и остальные странички, которые загружались, но не полностью.
    25 января 2008 г. 14:17
  • Ничего не понял. Где нашел то? Расскажи поподробнее.

    15 февраля 2008 г. 9:34
  •  

    тебе написали, в настройках http фильтра, правой кнопкой по правилу и вперед
    15 февраля 2008 г. 11:30
    Отвечающий
  •  Asv написано:
    Я нашел, в чем было дело - мне кучу проблем решило снятие галки "Блокировать запросы, содержащие неоднозначные расширения" на вкладке "Расширения" настроек HTTP!
    И клиент банк поднялся, и карты Яндекса стали загружаться и остальные странички, которые загружались, но не полностью.

     

     

    Кстати эта галка по умолчанию не стоит.

    18 февраля 2008 г. 10:57
    Модератор