emx Moderator Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Предыдущие части этой темы: 1 + 2 + 3 Microsoft Internet Security & Acceleration Server - сайт производителя - необходимо посетить, начиная работу с ISA Server IsaDocs.Ru - переведенные статьи с IsaServer.Ru - форумы, статьи, решения ISA на iXBT - Хобот, наш конкурент Коллекция ссылок на статьи   Варез Miсrosoft Forefront TMG (ISA)   Назначение и применение сабжа.. Продолжение шапки.. НАСТОЯТЕЛЬНАЯ ПРОСЬБА ВСЕМ КТО ПОСТИТ В ЭТОМ ТОПИКЕ - ЕСЛИ ВЫ РЕШИЛИ ПРОБЛЕМУ САМИ ИЛИ С ПОМОЩЬЮ, УБЕДИТЕЛЬНО ПРОСИМ ВАС ПОДЕЛИТСЯ РЕШЕНИЕМ ВАШЕЙ ПРОБЛЕМЫ - ЖЕЛАТЕЛЬНО РАЗВЁРНУТО И С ОБЬЯСНЕНИЯМИ, В ДАЛЬНЕЙШЕМ ЭТО ПОМОЖЕТ ДРУГИМ ЛЮДЯМ, СТОЛКНУВШИМСЯ С ТЕМИ ЖЕ ПРОБЛЕМАМИ. // текущий бэкап шапки.. Всего записей: 11860 | Зарегистр. 05-06-2002 | Отправлено: 10:54 13-07-2008 | Исправлено: Paromshick, 11:25 30-01-2016

se111 Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору anton04 спасибо, но я уже сделал. сниффером нашел в чем беда. там настроечку выключил одну в сетевой карте Intel pro гигабитная. и всё зашуршало. ---------- создание сайтов Всего записей: 782 | Зарегистр. 21-04-2005 | Отправлено: 12:35 27-07-2009

anton04 Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Jar24   В большинстве случает такая ошибка выскакивает если:   1. У вас установлен антивирус на исе. 2. У вас установлено квотирование трафика на исе. 3. Неправильно настроен внутренний DNS или интерфейсы на исе.   Метод решения для 1 и 2: снести всё нафиг (не отключить, а именно удалить). Метод решения для 3: настроить интерфейся исы в соотвествии со статьёй. Настроить свой DNS на нормальное разрешение имён и т.п. Всего записей: 2821 | Зарегистр. 14-06-2006 | Отправлено: 15:16 29-07-2009

hardhearted Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Vovann2003 network rule между второй сетью и external делал? dns настроены у клиентов второй сети и доступны? диагностировать проблему хоть как нибудь пробовал? логи смотрел? из всех внутренних сетей клиенты могут ходить и через прокси и через nat, ограничений нет Всего записей: 1272 | Зарегистр. 23-10-2004 | Отправлено: 16:22 30-07-2009

ITeXPert Full Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Привет всем! Есть задача опубликовать SharePoint 2007 через ISA 2006 либо TMG использую двухфакторную аутенификацию, а именно сертификат на компьютер + Form-Based Authentication. ISA и SharePoint в домене, клиенты нет (сертификат будет вручную выписываться). Данная задумка реализуема или двухфакторная аутентификация работает только на связке SecureID + Certificate? Всего записей: 476 | Зарегистр. 29-11-2004 | Отправлено: 13:41 31-07-2009

anton04 Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору ghilton   QoS на исе стоит?   Bsplitter лучше пока удали (пока не решил проблемму) во исключение влияния стороннего програмного обеспечения на ису. Если есть антивирусники на исе, их то же следует удалить (не отключить, а именно удалить).   SP1 для ISA Server 2006 стоит?   Вот почитай ещё (может наведёт на мысль). Всего записей: 2821 | Зарегистр. 14-06-2006 | Отправлено: 21:30 01-08-2009

hardhearted Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Vovann2003 снимать эту галку не советую - http фильтры и кэширования не будет у исы нет интерфейсов вообще (если найдешь где в консоли исы настраиваются интерфейсы - покажи )), а разных network настроить прокси можно без проблем Всего записей: 1272 | Зарегистр. 23-10-2004 | Отправлено: 12:02 03-08-2009

OneHunt Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Господа, что подскажите, никак не пойму, как закрыть исходящий трафик с определенного порта локального компа. Исходящий трафик на порт, там все понятно. А вот исходящий с определенного... ИСА2006Станд. Общий смысл правила -> Источник - Internal Прокол - TCP(OUT) Порт источника - ХХХХ <-  трафик с этого порта и нужно запретить. Назначение - External Порт назначения - > Любой или конкретный, тут неважно в данном случае. Всего записей: 629 | Зарегистр. 24-10-2007 | Отправлено: 16:22 03-08-2009 | Исправлено: OneHunt, 16:23 03-08-2009

anton04 Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору OneHunt   Цитата: с определенного порта локального компа   Локального - это где стоит иса? Или локального в смысле любого другого за исой?   Цитата: А вот исходящий с определенного...     Для исы это будет входящий порт   P.S. Удалённую машину она контролировать в принципе не может. Всего записей: 2821 | Зарегистр. 14-06-2006 | Отправлено: 17:27 03-08-2009 | Исправлено: anton04, 17:28 03-08-2009

hardhearted Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору anton04 не путай человека, он имел ввиду именно исходящий порт (source port), входящий исы тут вообще не причем   OneHunt у исы можно разрешить с определенного диапазона портов (кнопа ports на вкладке protocols), а вот запретить с определенного врядли, хотя быть может получится использовать ту же вкладку и для запрещающего правила Всего записей: 1272 | Зарегистр. 23-10-2004 | Отправлено: 17:52 03-08-2009

OneHunt Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору hardhearted Да, это я в курсе, что разрешить можно там, где ты пишешь. Но нужно запретить. Если бы можно было множественные диапазоны проставить для резрешения, а там только один диапазон. Разрешить нужно все порты, кроме одного. Ну хоть ваще отказывайся... А ведь деньги заплатили. Может комбинация правил? Башню уже заклинило уже на этом. Всего записей: 629 | Зарегистр. 24-10-2007 | Отправлено: 22:09 03-08-2009 | Исправлено: OneHunt, 22:11 03-08-2009

ITeXPert Full Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору OneHunt а что мешает сделать правило типа deny для сети internal по протоколу (сам создашь новый, укажешь твой порт) в external для всех пользователей? Если нужно гибче, то либо с определенного внутреннего адреса запрещать по этому порту в мир ходить, либо если включишь авторизацию в правиле, то человеку понадобится ISA клиент, чтобы нормально работало правило. Только повесь это правило над разрешающими ---------- DevOps and Investing blog Всего записей: 476 | Зарегистр. 29-11-2004 | Отправлено: 23:31 03-08-2009 | Исправлено: ITeXPert, 23:48 03-08-2009

OneHunt Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору ITeXPert Да, но дело в том, что при создании протокола я могу указать только порт назначения. Мне же нужно блокировать "вообще все TCP - исходящее" с определенного порта источника. Т.е. локального компа, а не компа на который отправляются пакеты. Или я что-то не догоняю. В протоколе можно указать tcp порт как incoming, так и outgoing. Но, на сколько я понимаю, это касается направления передачи. Или ты хочешь сказать, что правило типа -> 1. Действие  - Deny 2. From  - Internal 3. To - External 4. Users - All Users 5. Protocol - > 5.1 Port range XXXX 5.2 Protocol Type TCP 5.3 Direction - Outgoing  Как раз и описывает исходящий порт ХХХХ? Всего записей: 629 | Зарегистр. 24-10-2007 | Отправлено: 09:44 04-08-2009 | Исправлено: OneHunt, 09:46 04-08-2009

ITeXPert Full Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору OneHunt Можешь и так попробовать, но в целом пониял что ты хочешь. Такое наверно лучше реализовать групповой политикой, если у тебя домен. Тупо разрешить локальному windows firewall блокировать все кроме того что те надо ---------- DevOps and Investing blog Всего записей: 476 | Зарегистр. 29-11-2004 | Отправлено: 10:03 04-08-2009

OneHunt Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору ITeXPert Домен есть, но по некоторым соображениям не хочу трогать глобальные политики. Нужно закрывать именно на шлюзе. Есть еще вопрос, можно ли без клиента  на локальном компе, запретить приложению ходить через прокси? Всего записей: 629 | Зарегистр. 24-10-2007 | Отправлено: 10:49 04-08-2009 | Исправлено: OneHunt, 13:16 04-08-2009

hardhearted Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору OneHunt ITeXPert нет, в протоколе это задать нельзя, то что описано выше это исходящий протокол по порту назначения ХХХХ, порт источника там не указывается. ты пробовал создать запрещающее правило с указанием исходящего порта, как я писал выше? комбинация правил тоже может помочь, во всяком случая следуя алгоритму обьратки правил долно сработать   ps собственно, а зачем это надо? и нормальные люди сначала ставят задачу а потом уже покупают продукт под нее, а не наоборот, так что получили вы ровно то что оплатили Всего записей: 1272 | Зарегистр. 23-10-2004 | Отправлено: 13:16 04-08-2009

OneHunt Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору hardhearted Цитата: нормальные люди сначала ставят задачу Вот именно. К сожелению, мне ИСА по наследству досталась. Повлиять на покупку я не мог. Слова о том, что FBSD + системный блок выгоднее и удобнее, не возымели действия. Так же и KWF, UG и прочее. Мне было сказано - M$ рулит и все. Через полгода этот товарищ уволился, а я теперь парюсь с этим.   Нужно все это, для того, чтобы заткнуть без клиента на компе некое приложение, работающее с этого порта. Еще было бы неплохо запретить этому приложению по HTTP ходить через прокси, также без клиента на локальном компе. Всего записей: 629 | Зарегистр. 24-10-2007 | Отправлено: 13:24 04-08-2009 | Исправлено: OneHunt, 13:27 04-08-2009

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Microsoft ISA Server 2006/2004/2000 & TMG/UAG (Часть 4)

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование