emx Moderator Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Предыдущие части этой темы: 1 + 2 + 3 Microsoft Internet Security & Acceleration Server - сайт производителя - необходимо посетить, начиная работу с ISA Server IsaDocs.Ru - переведенные статьи с IsaServer.Ru - форумы, статьи, решения ISA на iXBT - Хобот, наш конкурент Коллекция ссылок на статьи   Варез Miсrosoft Forefront TMG (ISA)   Назначение и применение сабжа.. Продолжение шапки.. НАСТОЯТЕЛЬНАЯ ПРОСЬБА ВСЕМ КТО ПОСТИТ В ЭТОМ ТОПИКЕ - ЕСЛИ ВЫ РЕШИЛИ ПРОБЛЕМУ САМИ ИЛИ С ПОМОЩЬЮ, УБЕДИТЕЛЬНО ПРОСИМ ВАС ПОДЕЛИТСЯ РЕШЕНИЕМ ВАШЕЙ ПРОБЛЕМЫ - ЖЕЛАТЕЛЬНО РАЗВЁРНУТО И С ОБЬЯСНЕНИЯМИ, В ДАЛЬНЕЙШЕМ ЭТО ПОМОЖЕТ ДРУГИМ ЛЮДЯМ, СТОЛКНУВШИМСЯ С ТЕМИ ЖЕ ПРОБЛЕМАМИ. // текущий бэкап шапки.. Всего записей: 11860 | Зарегистр. 05-06-2002 | Отправлено: 10:54 13-07-2008 | Исправлено: Paromshick, 11:25 30-01-2016

hardhearted Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору OneHunt KWF и UG (уг это убычно унылое говно )) в случае корпоративных сетей оказываются совсем непотребством, это поделки для домохозяек. никсы конечно настроить очень грамотно можно, но у них нет аутенфикации ad юзера и вообще интеграции с ad. заткнуть апликуху через http прокси пможно через сигнатуры в http фильтре Всего записей: 1272 | Зарегистр. 23-10-2004 | Отправлено: 14:59 04-08-2009

ITeXPert Full Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору OneHunt FreeBSDшника за стопицот метров видно (Без обид, я хоть и виндовый админ, Фряху люблю)))) И ису и сквид можно настроить, главное очень хотеть И аутентификация есть с помощью самбы. Конечно не так удобно все настраивается, но все же есть. Политики ты не трогаешь потому что не стлкивался раньше или чего-то недопонимаю? Можно сделать политику которая конфигурит файрвол на конкретной машине а не всем подряд, если чего могу описать подробно. По поводу фильтрации то как уже сказал hardhearted -> правой мышью на правиле -> Configure HTTP -> Signatures =) ---------- DevOps and Investing blog Всего записей: 476 | Зарегистр. 29-11-2004 | Отправлено: 16:07 04-08-2009

OneHunt Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору На локальных компах остановлен фаэр из-за доп.софта. Вместо внесения этого софта в исключения, фэарвол просто останавливали. Изменять ситуацию геморно - перелопатить прорву компов руками придется. Поэтому и не прокатит политика. Аутентификация по пользователям не слишком нужна. Народ сидит за фиксированными компами. Политиками запрещены некоторый службы в домене. Чтобы появился пункт Configure HTTP нужно включить WEB фильтр в протоколе HTTP. В настоящий момент он отключен. Х.З почему, нужно думать над этим вопросом. Не хочется испортить случайно работу еще чего-нибудь. Всего записей: 629 | Зарегистр. 24-10-2007 | Отправлено: 17:08 04-08-2009

hardhearted Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору ITeXPert интересно как это с помощью самбы фряха проведет аутенфикацию приложений не умеющих прокси (то есть симитирует работу firewall client)? для реализации такого надо для юниксового фаера (про прокси мы не говорим, ldap умеют уже все прокси, даже аппаратные) сделать механизм аутенфикации и написать агента чтобы на винду ставить (кстати где то читал что идеко так и сделала, правда не в курсах насколько прямо ) OneHunt того кто выключил web proxy filter надо кастрировать, чтобы не размножался без этого фильтра иса как прокси перестает иметь смысл. без аутенфикации иса вообще становится весьма неумным способом потратить 1.5К зеленых. ибо функции роутера она не выполняет (это целиком на винде, а у винды роутинг примитивный), и как следствие не может юзать два и более провайдера, по прокси функциям сквид ей ничем не уступит, по фаервол функциям никсы и циски также не уступят и в чем то явно превзойдут. так же нет встроенного шейпинга и квотирования. Всего записей: 1272 | Зарегистр. 23-10-2004 | Отправлено: 18:36 04-08-2009

OneHunt Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору hardhearted Так вот и вопрос. WEB фильтр включу, если что перестанет работать, потом отдельно разобраться можно будет. Вот если бы политиками удалось на всех компах разом включить остановленный FW тогда и вопрос по затыканию порта решился бы. Пойду искать маны про WEB фильтр. Всего записей: 629 | Зарегистр. 24-10-2007 | Отправлено: 21:19 04-08-2009

SergeyMark Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору OneHunt Цитата: Господа, что подскажите, никак не пойму, как закрыть исходящий трафик с определенного порта локального компа. Цитата: Нужно закрывать именно на шлюзе. Есть еще вопрос, можно ли без клиента  на локальном компе, запретить приложению ходить через прокси? А что мешает на локальном компе зайти в свойства сетевой карты и открыть только нужные порты? _http://rapidshare.de/files/48036450/tcp_.jpg.html Или этот вариант не подходит? Всего записей: 1336 | Зарегистр. 29-09-2004 | Отправлено: 08:54 05-08-2009

OneHunt Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору SergeyMark Цитата: на локальном компе зайти Имеется ввиду при помощи виндового брандмауэра? Это не совсем удобное решение в настоящий момент. Много компов обойти придется и руками что-то делать в них, если не получится подключиться удаленно. Правда один раз всего. Но пока нет такой возможности. Или фильтрацию можно с помощью политик включить? Наверное так и поступлю, хотя это не совсем верное решение на мой взгляд. Всего записей: 629 | Зарегистр. 24-10-2007 | Отправлено: 09:06 05-08-2009 | Исправлено: OneHunt, 09:19 05-08-2009

lypky Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Сразу оговорюсь - все что написано ниже, это сугубо имхо не очень опытного ни в вин, ни в никсах админа.   OneHunt Странно как то. Я сам очень люблю ису, но чем больше я читаю и разбираюсь в squide, ipcop'e и так далее тем меньше я понимаю почему же иса стоит 1.5 к зелени. Наверное из за дружественного пользователям интерфейса "смайлик". Ну и конечно тесной интеграции со всеми сервисами win систем. Если брать в рассчет бабло, то исе есть место если в конторе от 100 компов. И то...   hardhearted Цитата: никсы конечно настроить очень грамотно можно, но у них нет аутенфикации ad юзера и вообще интеграции с ad.     А вы уверены что это прямо правда на 100%? Или я чего то не понимаю. К примеру кларк коннект, астаро, тот же ideco вроде бы легко вытаскивает польлзователей из AD. Или Ldap. Это разве не одно и тоже?   Цитата: Нужно закрывать именно на шлюзе. Есть еще вопрос, можно ли без клиента  на локальном компе, запретить приложению ходить через прокси?     А вот про это вообще не понял. А что мешает создать элементарное правило типа deny > port xxx > from internal > to external   Сам сейчас пытаюсь отважно победить freebsd, ubuntu + squid & ipcop. Вроде бы в теории 100% замена исе, но на практике усиливает тягу к самоубийству.   Всего записей: 699 | Зарегистр. 19-10-2006 | Отправлено: 10:45 05-08-2009

hardhearted Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: А вы уверены что это прямо правда на 100%? Или я чего то не понимаю. К примеру кларк коннект, астаро, тот же ideco вроде бы легко вытаскивает польлзователей из AD. Или Ldap. Это разве не одно и тоже?   как прокси никсы и многие "аппаратные" штуки умеют лдап и очень давно, но для приложений которые через прокси не умеют такой штуки как fwc я не видел, хотя в принципе написать такое никто не мешает. как я писал выше, видел подобное в описании идеко, правда не знаю хорошо ли это работает, но идеко например тоже денег стоит, и очень даже немало   ps и вообще это пустой треп, холивар винды против никсов вечен   Добавлено: Цитата: А вот про это вообще не понял. А что мешает создать элементарное правило типа deny > port xxx > from internal > to external   то что ему надо запретить коннект с определенного порта источника а не назначения, это разные вещи, читать следует внимательней Цитата: Сам сейчас пытаюсь отважно победить freebsd, ubuntu + squid & ipcop. Вроде бы в теории 100% замена исе, но на практике   ubuntu как сервер? дожили, уже десктопную линуксятину в сервера потянули. ipcop это что то новое, раньше вроде ipfw или iptables отцы использовали Всего записей: 1272 | Зарегистр. 23-10-2004 | Отправлено: 11:00 05-08-2009

OneHunt Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору To All Спасибо за помощь, в принципе с помощью политик можно все что нужно включить, загнать в исключения и отфильтровать по порту. Но есть нюанс. Не везде стоит WXP PRo. Если W2K отреагирует криво на применение такой доменной политики, придется переустананвливать ОСь на компах. А времени нет... Всего записей: 629 | Зарегистр. 24-10-2007 | Отправлено: 11:45 05-08-2009

hardhearted Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору OneHunt что это за дикая такая софтина что появляется на всех компах, чем то мешает и которую просто нельзя удалить? Всего записей: 1272 | Зарегистр. 23-10-2004 | Отправлено: 12:12 05-08-2009

OneHunt Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Есть разного рода софт, который не требует инсталляции, но позволяет ходить через прокси, открывать удаленное управление, организовывать видеочаты и прочее. Зачастую, этот софт достаточно умело написан, с точки зрения выискивания таких маршрутов. Есть задача заткнуть все эти дела. Но тихо. Без размахивания шашкой и привлечения внимания.   Включил в политиках домена службы-исключения-порты-фаэрволы-терминалы-общие папки-принтеры. Посмотрим, что получится. Надеюсь, что все это не подерется с ISA-й. Жду распространения политики. Всего записей: 629 | Зарегистр. 24-10-2007 | Отправлено: 12:44 05-08-2009

ITeXPert Full Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору OneHunt в целом ты на правильном пути. Сеть должна быть контролируемой, в помощь этому групповые политики и придумали. За веб фильтр молчу hardhearted про кастрацию все сказал По поводу политики, в каждой указана минимальная версия винды на которая будет работать данная политика, если там в списке есть Win2000 - то все будет ок За Ису хотят столько денег, т.к. для публикации серверов и анализа SSL трафика она самое то. Для шефпинга трафика использую Bandwidth Splitter. поводу "всякого софта" - поставь Internet Access Monitor - посмотри логи выяснишь кто много трафика ест, потом помониторишь исой эти айпишники на предмет че за трафик, а там и фильтры в исе подкрутить недолго. Еще GFI WebMonitor тоже хорошая вещь. В общем вариантом как закрутить гайки пользователям есть масса ---------- DevOps and Investing blog Всего записей: 476 | Зарегистр. 29-11-2004 | Отправлено: 13:20 05-08-2009

OneHunt Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Найти бы списки сигнатур наиболее распространенных приложений, существенно ускорило бы процесс, если нужные проги окажутся в списках. Беда в том еще, что не отобрать привилегии у части юзеров. Жалуются руководству, а то поощряет их. Мне говорят - ты админ, вот и админь как умеешь, но чтобы все ОК было и не жаловался никто. Всего записей: 629 | Зарегистр. 24-10-2007 | Отправлено: 14:00 05-08-2009 | Исправлено: OneHunt, 14:07 05-08-2009

lypky Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору hardhearted   Цитата: то что ему надо запретить коннект с определенного порта источника а не назначения, это разные вещи, читать следует внимательней     Ээээ... я вроде бы внимательно читал. Просто убейте меня не могу понять в чем проблема. У меня через НАТ вообще юзерам доступен только 25 и 110 порты ну и 465 и 965. Короче почта и ссл почта. Все это только через авторизацию тем кто не пользуется локальной почтой.   А все остальные порты тупо зыкрыты исой. Т.е. не открыты, т.к. там по умолчанию запрещено все что не разрешено. Конечно в интернет по хттп юзера ползают через прокси. И в целом конечно ничего им особенно не запрещает инкапсулировать ссл тунель в прокси и юзать всякую срань, но это уже довольно сложно это раз. Второе, логи все равно анализируются и юзера зная что могут подвергнуть административным взысканиям такого не делают.   Поэтому еще раз хочу понять. В чем проблема?   Всего записей: 699 | Зарегистр. 19-10-2006 | Отправлено: 15:25 05-08-2009

hardhearted Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору OneHunt сначала составляешь и согласуешь документ запрещающий всю левоту а потом на любую жалобу шлешь читать документ списки сигнатур есть на офсайте, да и по логам посмотреть можно   ITeXPert ну анализировать ssl сама иса не может, тока левыми фильтрами, или новая tmg bsplitter конечно неплох, тока стоит он тоже неплохо, а резать юзеров в компании смысла нет - это все таки не чердачно-подвальная домовая сетка   Добавлено: lypky проблема в том что ты говоришь про порт назначения, а у него задача про порт источника - это совершенно разные вещи ты открой свои логи и посмотри с какого порта клиенты у тебя идут в инет, именно source port, и увидишь что там может быть что угодно, и твоими 25 и 110 не пахнет Всего записей: 1272 | Зарегистр. 23-10-2004 | Отправлено: 15:37 05-08-2009

ITeXPert Full Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору hardhearted по-этому и юзаю в домашней сетке ISA + BS (резать сайты нельзя) а на работе ISA + GFI WebMonitor (т.к шейпить смысла нет, после того как все лишнее позапрещал) ---------- DevOps and Investing blog Всего записей: 476 | Зарегистр. 29-11-2004 | Отправлено: 16:50 05-08-2009

hardhearted Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору ITeXPert ну вот как раз для домашней сетки иса малопригодна, не то позиционирование, в домашних сетях никсовые сервера выглядят получше и дешевле Всего записей: 1272 | Зарегистр. 23-10-2004 | Отправлено: 17:03 05-08-2009

ITeXPert Full Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору hardhearted В никсах я не так силен, как в винде, вот по-этому на винде и построено, хотя еще проще вариант циску купить, но эт может когда нибудь потом )) ---------- DevOps and Investing blog Всего записей: 476 | Зарегистр. 29-11-2004 | Отправлено: 17:37 05-08-2009

hardhearted Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору ITeXPert циску не проще, к ней все равно сервак нужен - логи и статистику считать Всего записей: 1272 | Зарегистр. 23-10-2004 | Отправлено: 18:08 05-08-2009

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Microsoft ISA Server 2006/2004/2000 & TMG/UAG (Часть 4)

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование