none
Как разрешить всем пользователям ходить на определенные https сайты? RRS feed

  • Вопрос

  • Добрый день, вопрос думаю уже поднимался ни раз. Перечитал уже почти все подобные проблемы и симптомы. Но ничего не получается.
    В свою очередь на ИСЕ настройка такая:
    выпускать всех пользователей (в настройках протокола указан http,https,ftp) изнутри наружу по белому списков URL*ов (как потом выяснилось туда можно добавить только http)
    потом выпускать пользователей состоящих в группе inet наружу по http,https ftp.
    потом default deny

    Проблема в том что пользователей состоящих в группе inet выпускает на https://XXX.XX, а простых пользователей нет.
    Куда копать, подскажите?

    3 марта 2008 г. 8:22

Все ответы

  •  

    ну ты смешной, у тебя иса работает ровно так как ты ее настроил, что ж ты от нее еще хочешь? Smile)
    3 марта 2008 г. 9:53
    Отвечающий
  • Если ваш белый список (не забывайте, там только http) настроен на всех пользователей, а за ним идет правило для Inet, в котором нет белого списка - поведение ISA вполне понятно. Т.к. когда вы обычным пользователем набираете https://xx.xx ISA в белом списке ничего подобного не находит и заворачивает трафик.

    У Inet списка нет, соответственно https пропускается без проблем.
    3 марта 2008 г. 10:11
  •  azbeast написано:
    Добрый день, вопрос думаю уже поднимался ни раз. Перечитал уже почти все подобные проблемы и симптомы. Но ничего не получается.
    В свою очередь на ИСЕ настройка такая:
    выпускать всех пользователей (в настройках протокола указан http,https,ftp) изнутри наружу по белому списков URL*ов (как потом выяснилось туда можно добавить только http)
    потом выпускать пользователей состоящих в группе inet наружу по http,https ftp.
    потом default deny

    Проблема в том что пользователей состоящих в группе inet выпускает на , а простых пользователей нет.
    Куда копать, подскажите?

     

    В URL-list можно добавлять https - добавьте туда ваш https://XXX.XX и все заработает.

    3 марта 2008 г. 12:08
    Модератор
  • Smile

    Спасибо за советы, но дело в том что в самом белом списке есть хосты https. Выше я указал что в самом правиле в поле "To" стоит URL-лист c перечисленными хостами. Так вот если зайти в этот лист там ясно сказано что "URL include in this set (applicable for HTTP traffic only)"
    Из этого я понял что https не выпускает.
    Лишь поэтому и спрашиваю, как выпустить людей на https
    Кстати код ошибки такой:

    Network Access Message: The page cannot be displayed
     
    Technical Information (for Support personnel)
    Error Code: 502 Proxy Error. The ISA Server denied the specified Uniform Resource Locator (URL). (12202)
    IP Address: 10.хх.хх.хх
    Date: 03.03.2008 23:37:25 [GMT]
    Server: хх.ххх.хх
    Source: proxy

     

    4 марта 2008 г. 0:27
  • Цитата из http://www.microsoft.com/technet/isa/2004/plan/faq-urldomainnamesets.mspx

     

    You can create a URL set, and then use it in access rules to allow or deny access to websites specified in the set. When ISA Server processes a rule that applies to a URL set, the URL set element of the rule is only processed for Web traffic requests (HTTP, HTTPS, or FTP over HTTP). If a client request uses another protocol (Firewall traffic), ISA Server ignores the URL set when processing the rule. For example, if a rule has both a Computer set and a URL set specified as destination criteria, only the Computer set will be evaluated in the rule. The URL set will be ignored.

     

     

    Ваша проблема в другом. Смотрите внимательно мониторинг.
    4 марта 2008 г. 3:52
    Модератор
  • Нашел, но от этого лечге не стало, в логах увидел что при попытке соединения пользователя на https адрес его откидывает по дефолтовому правилу ИСЫ all deny
    т.е. данный запрос даже не обрабатывается по правилу (whitelist) которое стоит первым allow all to https site.
    В логах же дословно:
    HTTP Proxу Initiated Connection
    SSL-tunnel Denied Connection
    HTTP Proxy Closed Connection
    HTTP Proxу Initiated Connection
    HTTP Proxy Closed Connection
    SSL-tunnel Denied Connection [Enterprise] Default Rule
    SSL-tunnel Failed Connection Attempt

    В первом случае deny по анонимусу, во втором по конкретному пользователю.
    4 марта 2008 г. 7:24
  • Раз попадает в default rule, значит условия правила не соответствуют запросу. Внимательно смотрите в мониторинге сопадения полей From To и других с аналогичтными полями в правиле, которое должно сработать.

    4 марта 2008 г. 9:45
    Модератор