none
ISA 2004 и проблема с правилами для групп RRS feed

  • Вопрос

  • Есть ISA 2004, на рабочих станциях XP SP3 в домене установлена вроде последняя версия firewall Client. Недавно была смена внешнего IP - и отношения сетей с NAT на Route

    http://www.microsoft.com/downloads/en/details.aspx?FamilyID=05C2C932-B15A-4990-B525-66380743DA89&displaylang=en

    Проблема - с некоторых пор не работают правила, привязанные к группам

    Типа простейшего - from = internal, to = some_ip, протокол - any или только ping. Если users = all users - правило работает. Но если убрать all users, и добавить конкретные группы - уже не работает. При этом на рабочей станции запущен Firewall Client, и подключен к серверу.

    Если смотреть logging по запросам с IP рабочей станции - видно запрещенные соединения, но правило именно то, что разрешает группам, а не default rule - которое по идее должно быть блокирующим правилом по умолчанию.

    Вопрос - как может быть блокировка по разрешающему правилу для группы?

     

Ответы

  • Вопрос - как может быть блокировка по разрешающему правилу для группы?


    блокировка по разрешающему правилу может быть в нескольких случаях:
    1. самый банальный, правило требует аутенфикации а прется анонимус, иса рассматривает это как ошибку аутенфикации и блокирует этим правилом. следующие правила не обрабатываются, даже если в них был разрешен анонимный доступ

    2. в правиле настроена фильтрация на уровне application и web filters (http, ftp, rpc). по условиям это правило будет срабатывать как подходящее, но фильтры блокируют конкретный трафик

    бывает полезным читать матчасть или хотя бы азы по продукту - очень много вопросов снимается само собой :) вот например статейка с очень хорошей схемкой в конце  http://www.isaserver.org/articles/ISA2004_AccessRules.html

    • Помечено в качестве ответа katbert 20 мая 2011 г. 13:04
    Отвечающий

Все ответы

  • Часть вопросов снимается - открыл для себя, что Firewall Client авторизует только TCP/UDP трафик. Зря мучился с пингами
  • а какие остаются? :)
    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
  • Вопрос - как может быть блокировка по разрешающему правилу для группы?


    блокировка по разрешающему правилу может быть в нескольких случаях:
    1. самый банальный, правило требует аутенфикации а прется анонимус, иса рассматривает это как ошибку аутенфикации и блокирует этим правилом. следующие правила не обрабатываются, даже если в них был разрешен анонимный доступ

    2. в правиле настроена фильтрация на уровне application и web filters (http, ftp, rpc). по условиям это правило будет срабатывать как подходящее, но фильтры блокируют конкретный трафик

    бывает полезным читать матчасть или хотя бы азы по продукту - очень много вопросов снимается само собой :) вот например статейка с очень хорошей схемкой в конце  http://www.isaserver.org/articles/ISA2004_AccessRules.html

    • Помечено в качестве ответа katbert 20 мая 2011 г. 13:04
    Отвечающий
  • 1. самый банальный, правило требует аутенфикации а прется анонимус, иса рассматривает это как ошибку аутенфикации и блокирует этим правилом. следующие правила не обрабатываются, даже если в них был разрешен анонимный доступ

    Похоже на эту ситуацию. Было правило для группы, однако доступа у пользователя этой группы не было, хотя ниже в списке было разрешающее правило для All Users. Выходит, это by design

    Дальше буду смотреть с учетом этой особенности

  • так и должно быть, все фаеры работат по одному принципу - проверяют правила сверху вниз и отрабатывают первое подходящее, остальные лесом. у исы если пользователь не смог аутенфицироваться, а правило требует, то это считается ошибкой. вот если пользователь может аутенфицироваться, но его нет в группе на которую работает правило, то это правило пропускается и обработка продолжается. Поэтому если плохо разбираешься в правилах то рекомендуется действовать по одному простопу принципу - сначала все анонимные, потом с аутенфикацией. см схемку по ссылке, там очень четко разобрано как обрабатываются правила, по этой схемке можно сортировать правила для уменьшения нагрузки на фаер.
    Отвечающий
  • Спасибо за ответы. С учетом этих особенностей - сейчас все работает предсказуемо