none
ISA и порядок применения правил при использование аунтифицированых пользователей RRS feed

  • Вопрос

  • Добрый день коллеги, возник вопрос по MS Isa Server 2006 ( версия 5.0.5723.511)

    Начну как учат правила с того что я хочу сделать:

    Есть два правила, первое разрешает из внутреней сети по протоколам HTTP, HTTPS доступ к списку сайтов (url set *. job.ru/*, job.ru/* ,*. hh.ru/*, hh.ru/* ) для определеной группы которая берется с AD , SG-1N-Job-site-access.

    Второе правило:  разрешить из внутреней сети (internal) протоколам HTTP, HTTPS доступ к *.mail.ru/*, mail.ru/*   (используется url set) All users

    Вопрос: почему трафик маил.ру  блокируется первым правилом и все начинает работать замечательно если второе правило, становится первым ?

    В обще по моим наблюдениям, если вы ывшестоящих правилах используется вместо All users какие либо группы или Authenticated users, то начинаются проблемы с нижестоящими правилами. Которые ну никак не попадают под вышестоящие правила. В чем причина такого поведения ?

    24 июля 2009 г. 10:20

Ответы

  • сотни раз писали, что если не знаешь как работать с правилами то следуй одному принципу - анонимные правила всегда выше неанонимных. это же написано в большинстве статей и факов для начинающих.
    читай матчасть http://www.isadocs.ru/articles/Understanding-the-ISA-2004-Access-Rule-Processing.html
    ps сам я этому принципу следую не всегда, просто условия правил надо правильно строить и понимать что и как будет обрабатываться

    в принципе если урл сет у тебя определены верно то первое правило не должно запрещать mail.ru
    ps2 не понимаю я эту непреодолимую тягу к url set когда хотят оперировать с сайтами, есть же domain set. url set юзаю крайне редко, когда рельно надо закрыть часть сайта или страницу.

    • Предложено в качестве ответа Maxim Kulikov 24 июля 2009 г. 13:01
    • Помечено в качестве ответа Nikita PanovModerator 14 августа 2009 г. 6:17
    24 июля 2009 г. 11:03
    Отвечающий

Все ответы

  • сотни раз писали, что если не знаешь как работать с правилами то следуй одному принципу - анонимные правила всегда выше неанонимных. это же написано в большинстве статей и факов для начинающих.
    читай матчасть http://www.isadocs.ru/articles/Understanding-the-ISA-2004-Access-Rule-Processing.html
    ps сам я этому принципу следую не всегда, просто условия правил надо правильно строить и понимать что и как будет обрабатываться

    в принципе если урл сет у тебя определены верно то первое правило не должно запрещать mail.ru
    ps2 не понимаю я эту непреодолимую тягу к url set когда хотят оперировать с сайтами, есть же domain set. url set юзаю крайне редко, когда рельно надо закрыть часть сайта или страницу.

    • Предложено в качестве ответа Maxim Kulikov 24 июля 2009 г. 13:01
    • Помечено в качестве ответа Nikita PanovModerator 14 августа 2009 г. 6:17
    24 июля 2009 г. 11:03
    Отвечающий
  • Добрый день коллеги, возник вопрос по MS Isa Server 2006 ( версия 5.0.5723.511)

    Начну как учат правила с того что я хочу сделать:

    В обще по моим наблюдениям, если вы ывшестоящих правилах используется вместо All users какие либо группы или Authenticated users, то начинаются проблемы с нижестоящими правилами. Которые ну никак не попадают под вышестоящие правила. В чем причина такого поведения ?


    Для наблюдения надо использовать встроенный в консоль мониторинг: он даст вам исчерпывающие ответы на вопросы "Почему трафик режется?"

    По поводу обработки правил http://www.isaserver.org/articles/ISA2004_AccessRules.html
    Сазонов Илья http://www.itcommunity.ru/blogs/sie/
    24 июля 2009 г. 11:07
    Модератор
  • Господа, спасибо за ответ.

    По url set  - используется для закрытие части сайтов, поэтому и используется. Плодитьв правили домен сет и урл сет для одной и той же функции не вижу смысла.. Само собой вопрос был из синтетического примера

    По поводу мониторинга, само собой им и отслеживалось, что  первое правило режет второе.

    Пойду освежать свое знание по матчасти, года полтора назад я читал эти статьи. Кстати статья написана для 2004, она не потеряла актуальность для 2006 ?
    24 июля 2009 г. 11:14
  • нет, не потеряла
    отличить 2004ю ису от 2006 по части правил фаера вообще нереально :)

    24 июля 2009 г. 11:22
    Отвечающий