Добро пожаловать в форум, Guest  >>   Войти | Регистрация | Поиск | Правила | В избранное | Подписаться
Все форумы / Windows Новый топик    Ответить
Топик располагается на нескольких страницах: Ctrl  назад   1 [2] 3   вперед  Ctrl      все
 Re: боьба с Ушлыми юзерами (ISA Server)  [new]
ALex_hha
Member

Откуда: Украина. Харьков.
Сообщений: 2944
автор
А ISA наверно был только в режиме прокси, а не файрвола.

В ISA 2006 ты не можешь настроить только прокси, фаерволл по любому придется настраивать.
17 дек 07, 15:41    [5058601]     Ответить | Цитировать Сообщить модератору
 Re: боьба с Ушлыми юзерами (ISA Server)  [new]
Anatoly Podgoretsky
Member

Откуда:
Сообщений: 62912
ISA 2006 имеет три режима работы - Firewall, Proxy и Mixed
17 дек 07, 15:55    [5058701]     Ответить | Цитировать Сообщить модератору
 Re: боьба с Ушлыми юзерами (ISA Server)  [new]
kill_zdm
Member

Откуда:
Сообщений: 1406
Anatoly Podgoretsky
А ISA наверно был только в режиме прокси, а не файрвола.

Она хоть в каком режиме будет. Но если у юзеров настроено получать адреса динамически от шлюза CISCO миную ISA, то и получается сей курьез. Только если явно указывать в качестве прокси в браузере. Иначе игнор.
17 дек 07, 15:57    [5058711]     Ответить | Цитировать Сообщить модератору
 Re: боьба с Ушлыми юзерами (ISA Server)  [new]
kill_zdm
Member

Откуда:
Сообщений: 1406
в ISA 2004 кстати тоже нет режима только прокси.... по любому она и файрвол и прокси и кэш сервер
17 дек 07, 16:00    [5058728]     Ответить | Цитировать Сообщить модератору
 Re: боьба с Ушлыми юзерами (ISA Server)  [new]
ALex_hha
Member

Откуда: Украина. Харьков.
Сообщений: 2944
автор
ISA 2006 имеет три режима работы - Firewall, Proxy и Mixed

странно, в инете читал что только как Proxy нельзя настроить. А как это сделать, если не секрет?
17 дек 07, 16:03    [5058752]     Ответить | Цитировать Сообщить модератору
 Re: боьба с Ушлыми юзерами (ISA Server)  [new]
kill_zdm
Member

Откуда:
Сообщений: 1406
ALex_hha
автор
ISA 2006 имеет три режима работы - Firewall, Proxy и Mixed

странно, в инете читал что только как Proxy нельзя настроить. А как это сделать, если не секрет?

по дефолту она становится файрволом. Даже если один сетевой интерфейс. Можно просто в качестве шлюза указать ее. Она получает адрес от шлюза. Остальные как сказал выше от нее. И все правила перекладываются на хосты. В доменной системе это точно работает. Так-же можно "прописку" сделать на конечном маршрутизаторе. Чтоб она не напрямую к провайдеру шла, а маршрутизировалась через ISA, а он уже маршрутил к провайдеру.. тут вариантов по ходу тьма. На счет режимов.. по сколько все правила выхода регламентируются именно firwall policy то соответственно и нет разгроничений от proxy, firewall... одно целое. Чтение политик идет с верху вниз. Правило -deny-не имеет настроек http,ftp.... только allow-имеет сеи настройки и запреты на расширения файлов или readonly - frp создаются в нем, не очень логично звучит, но так и есть. а глобальные заперты в правиле deny. в простом случае.
1. Создатьт два правила allow, deny
2. Создать domain name sets - bed_sites (вписать туда маски нежелательных сайтов)
3. Создать группу пользователей - "лохи"
4. В правило deny-добавить в From-all outbond trafic - TO- bed sites и в bed sites добавить пользователей кому запрещено
5. В правиле allow-настроить расширения http , точнее их запрет
17 дек 07, 16:15    [5058846]     Ответить | Цитировать Сообщить модератору
 Re: боьба с Ушлыми юзерами (ISA Server)  [new]
Anatoly Podgoretsky
Member

Откуда:
Сообщений: 62912
kill_zdm
Anatoly Podgoretsky
А ISA наверно был только в режиме прокси, а не файрвола.

Она хоть в каком режиме будет. Но если у юзеров настроено получать адреса динамически от шлюза CISCO миную ISA, то и получается сей курьез. Только если явно указывать в качестве прокси в браузере. Иначе игнор.

Если CISCO будет за файрволом, то будет не обойти.
17 дек 07, 16:43    [5059060]     Ответить | Цитировать Сообщить модератору
 Re: боьба с Ушлыми юзерами (ISA Server)  [new]
Anatoly Podgoretsky
Member

Откуда:
Сообщений: 62912
ALex_hha
автор
ISA 2006 имеет три режима работы - Firewall, Proxy и Mixed

странно, в инете читал что только как Proxy нельзя настроить. А как это сделать, если не секрет?

Режим задается при инсталяции, для прокси достаточно одного интерфейса. Информация есть как в книгах, так и в TechNet, даже в рисунках.
17 дек 07, 16:44    [5059066]     Ответить | Цитировать Сообщить модератору
 Re: боьба с Ушлыми юзерами (ISA Server)  [new]
ALex_hha
Member

Откуда: Украина. Харьков.
Сообщений: 2944
автор
Режим задается при инсталяции, для прокси достаточно одного интерфейса. Информация есть как в книгах, так и в TechNet, даже в рисунках.

не знаю, наверное я слепой. Но в SE можно было выбрать только компоненты. И то, только ставить консоль управления или нет. ВСЕ!!! Если не слишком нагло, можно линк на TechNet, ткни носом.
17 дек 07, 17:11    [5059223]     Ответить | Цитировать Сообщить модератору
 Re: боьба с Ушлыми юзерами (ISA Server)  [new]
Anatoly Podgoretsky
Member

Откуда:
Сообщений: 62912
ТесhNet большая я по ней только путешествую и никогда не запоминаю ссылки.
В начале года я устанавливал несколько файрволов в этих трех режимах.
17 дек 07, 17:14    [5059247]     Ответить | Цитировать Сообщить модератору
 Re: боьба с Ушлыми юзерами (ISA Server)  [new]
kill_zdm
Member

Откуда:
Сообщений: 1406
ALex_hha
автор
Режим задается при инсталяции, для прокси достаточно одного интерфейса. Информация есть как в книгах, так и в TechNet, даже в рисунках.

не знаю, наверное я слепой. Но в SE можно было выбрать только компоненты. И то, только ставить консоль управления или нет. ВСЕ!!! Если не слишком нагло, можно линк на TechNet, ткни носом.

Дык просто проинстоль ISA 2004 или 2006 там все логично и понятно. Я просто тупанул, по сколько не до конца въехал как была организована сеть.
17 дек 07, 17:43    [5059447]     Ответить | Цитировать Сообщить модератору
 Re: боьба с Ушлыми юзерами (ISA Server)  [new]
ALex_hha
Member

Откуда: Украина. Харьков.
Сообщений: 2944
автор
Дык просто проинстоль ISA 2004 или 2006 там все логично и понятно. Я просто тупанул, по сколько не до конца въехал как была организована сеть.

если ее просто интсалишь, то она ставит фаер, в котором по умолчанию все запрещено. Причем сам фаер отрубить нельзя. Можно только добавить правило разрешить все и всем :)
17 дек 07, 18:02    [5059581]     Ответить | Цитировать Сообщить модератору
 Re: боьба с Ушлыми юзерами (ISA Server)  [new]
kill_zdm
Member

Откуда:
Сообщений: 1406
ALex_hha
автор
Дык просто проинстоль ISA 2004 или 2006 там все логично и понятно. Я просто тупанул, по сколько не до конца въехал как была организована сеть.

если ее просто интсалишь, то она ставит фаер, в котором по умолчанию все запрещено. Причем сам фаер отрубить нельзя. Можно только добавить правило разрешить все и всем :)

ну дык ты сам ответил на вопрос... яж говорил, первое правило можно все, всем, по всем портам... а потом добавляешь запреты... сверхувниз идет чтение и можно в disable в любое время поставить любое правило, и оставить только allow_all.... а в обще конечно лучше потренироваться на виртуальной машине какой-нить... wmvare поднять на локале и проиметировать коннект к ней
17 дек 07, 18:13    [5059636]     Ответить | Цитировать Сообщить модератору
 Re: боьба с Ушлыми юзерами (ISA Server)  [new]
Crazy_Driver
Member

Откуда: α2000 = 14ч39м36с,5, δ2000 = -60°50'02"
Сообщений: 876
Anatoly Podgoretsky
А ISA наверно был только в режиме прокси, а не файрвола.

ISA находится за циской точно так же как и остальные компы и в случае снятия галки "хадить через прокси", ходили НАПРЯМУЮ через циску. И, соответственно, комп с ISA НЕ является шлюзом по умолчанию.


Я понимаю, что 25000 постов просто так напостить сложновато
17 дек 07, 18:13    [5059637]     Ответить | Цитировать Сообщить модератору
 Re: боьба с Ушлыми юзерами (ISA Server)  [new]
kill_zdm
Member

Откуда:
Сообщений: 1406
Crazy_Driver
Anatoly Podgoretsky
А ISA наверно был только в режиме прокси, а не файрвола.

ISA находится за циской точно так же как и остальные компы и в случае снятия галки "хадить через прокси", ходили НАПРЯМУЮ через циску. И, соответственно, комп с ISA НЕ является шлюзом по умолчанию.


Я понимаю, что 25000 постов просто так напостить сложновато

вово... стопроцентов для суперушлых конечно не придумать. но ... IE например имеет св-во сбросить настройки и прокси в том числе..тут даже по шапке не даш юзеру, а вот изменить сетевые параметры, особоушлых будет сразу видно.
17 дек 07, 18:18    [5059664]     Ответить | Цитировать Сообщить модератору
 Re: боьба с Ушлыми юзерами (ISA Server)  [new]
MZH
Member

Откуда: Moscow
Сообщений: 3883
А вот чего бы не задать доменным юзерам принудительные настройки IE через групповые политики? Или автор не ищет легких путей?
17 дек 07, 19:08    [5059853]     Ответить | Цитировать Сообщить модератору
 Re: боьба с Ушлыми юзерами (ISA Server)  [new]
Anatoly Podgoretsky
Member

Откуда:
Сообщений: 62912
Crazy_Driver
Anatoly Podgoretsky
А ISA наверно был только в режиме прокси, а не файрвола.

ISA находится за циской точно так же как и остальные компы и в случае снятия галки "хадить через прокси", ходили НАПРЯМУЮ через циску. И, соответственно, комп с ISA НЕ является шлюзом по умолчанию.


Я понимаю, что 25000 постов просто так напостить сложновато

Я понял давно его схему и жалко мне его. Конечо так можно делать, только обижаться не стоит.
Обще принято делать так, чтобы в обход было нельзя. В его случае схема должна быть следующая.

Инет <--> Cisco <--> ISA <--> компьютеры
17 дек 07, 19:47    [5059988]     Ответить | Цитировать Сообщить модератору
 Re: боьба с Ушлыми юзерами (ISA Server)  [new]
ALex_hha
Member

Откуда: Украина. Харьков.
Сообщений: 2944
автор
А вот чего бы не задать доменным юзерам принудительные настройки IE через групповые политики? Или автор не ищет легких путей?

не все используют ie как инет проводник. Так что тоже не выход.
17 дек 07, 20:02    [5060045]     Ответить | Цитировать Сообщить модератору
 Re: боьба с Ушлыми юзерами (ISA Server)  [new]
Crazy_Driver
Member

Откуда: α2000 = 14ч39м36с,5, δ2000 = -60°50'02"
Сообщений: 876
Anatoly Podgoretsky
Crazy_Driver
Anatoly Podgoretsky
А ISA наверно был только в режиме прокси, а не файрвола.

ISA находится за циской точно так же как и остальные компы и в случае снятия галки "хадить через прокси", ходили НАПРЯМУЮ через циску. И, соответственно, комп с ISA НЕ является шлюзом по умолчанию.


Я понимаю, что 25000 постов просто так напостить сложновато

Я понял давно его схему и жалко мне его. Конечо так можно делать, только обижаться не стоит.
Обще принято делать так, чтобы в обход было нельзя. В его случае схема должна быть следующая.

Инет <--> Cisco <--> ISA <--> компьютеры

Схема никому ничего не должна. И городить огород по такой схеме совершенно нецелесообразно. Особенно если офисов больше одного и между ними есть туннели.
17 дек 07, 21:41    [5060295]     Ответить | Цитировать Сообщить модератору
 Re: боьба с Ушлыми юзерами (ISA Server)  [new]
Anatoly Podgoretsky
Member

Откуда:
Сообщений: 62912
Никого и не заставляют.
А схема типовая, но не единственная.
17 дек 07, 22:34    [5060420]     Ответить | Цитировать Сообщить модератору
 Re: боьба с Ушлыми юзерами (ISA Server)  [new]
MZH
Member

Откуда: Moscow
Сообщений: 3883
ALex_hha
автор
А вот чего бы не задать доменным юзерам принудительные настройки IE через групповые политики? Или автор не ищет легких путей?

не все используют ie как инет проводник. Так что тоже не выход.

А запретить ставить и использовать другие браузеры тоже не будет выходом?
18 дек 07, 19:18    [5065445]     Ответить | Цитировать Сообщить модератору
 Re: боьба с Ушлыми юзерами (ISA Server)  [new]
Yanis
Member

Откуда: Казахстан, Актау
Сообщений: 4219
MZH
А запретить ставить и использовать другие браузеры тоже не будет выходом?
Нет не будет. Я могу скопировать на десктоп или в любое другое место браузер, не требующий инсталляции (с флешки, СД или из Инета). Могу написать собственный браузер... Наверное, но не суть важно. Это уже зависит от ушастости юзера. Поэтому - Alex_hha прав, не все пользуют IE. Особенно после выхода глючного IE7, который роняет систему при интенсивном серфинге
18 дек 07, 20:13    [5065608]     Ответить | Цитировать Сообщить модератору
 Re: боьба с Ушлыми юзерами (ISA Server)  [new]
MZH
Member

Откуда: Moscow
Сообщений: 3883
Yanis
MZH
А запретить ставить и использовать другие браузеры тоже не будет выходом?
Нет не будет. Я могу скопировать на десктоп или в любое другое место браузер, не требующий инсталляции (с флешки, СД или из Инета). Могу написать собственный браузер... Наверное, но не суть важно. Это уже зависит от ушастости юзера. Поэтому - Alex_hha прав, не все пользуют IE. Особенно после выхода глючного IE7, который роняет систему при интенсивном серфинге

Не надо мешать административные и технические методы решения, тем более, в голой теории.

А что до IE7, то, видимо, кому-то сильно не везет с ним, поскольку из моих знакомых никто на него не жалуется, к тому же, со столь жуткими симптомами.
19 дек 07, 13:33    [5068158]     Ответить | Цитировать Сообщить модератору
 Re: боьба с Ушлыми юзерами (ISA Server)  [new]
Yanis
Member

Откуда: Казахстан, Актау
Сообщений: 4219
MZH
А что до IE7, то, видимо, кому-то сильно не везет с ним, поскольку из моих знакомых никто на него не жалуется, к тому же, со столь жуткими симптомами.


Offtop mode on
Я уже 2 машины таких видел. Патчи все стоят, вирей (вроде) нет, бла-бла-бла, надстройки и пр. отключать пробовал напрочь.
Пока 2-3 вкладки открыто - все нормально, а когда вкладки по 5 шт подряд открывается и всего вкладок (либо окон, поровну) штук 20-30 - тогда:
Перестают открываться новые окна
Перестает работать правая кнопка мыши
Системе перестает хватать ресурсов (а на одном из таких компов 2 гига рамы)
И т.д.
Лечится перезапуском всех ИЕ, но подглюкивания остаются, помогает только перезагрузка
Offtop mode off
19 дек 07, 14:52    [5068907]     Ответить | Цитировать Сообщить модератору
 Re: боьба с Ушлыми юзерами (ISA Server)  [new]
MZH
Member

Откуда: Moscow
Сообщений: 3883
Yanis
MZH
А что до IE7, то, видимо, кому-то сильно не везет с ним, поскольку из моих знакомых никто на него не жалуется, к тому же, со столь жуткими симптомами.


Offtop mode on
Я уже 2 машины таких видел. Патчи все стоят, вирей (вроде) нет, бла-бла-бла, надстройки и пр. отключать пробовал напрочь.
Пока 2-3 вкладки открыто - все нормально, а когда вкладки по 5 шт подряд открывается и всего вкладок (либо окон, поровну) штук 20-30 - тогда:
Перестают открываться новые окна
Перестает работать правая кнопка мыши
Системе перестает хватать ресурсов (а на одном из таких компов 2 гига рамы)
И т.д.
Лечится перезапуском всех ИЕ, но подглюкивания остаются, помогает только перезагрузка
Offtop mode off

Также оффтоп.

Встречал подобное поведение, и отнюдь не на седьмом. В большинстве случаев это коррелирует с большим (порядка 20000) количеством открытых хендлов. Проблема платформенная и известна не первый год. На форумах Технета встречал несколько веток, посвященных подобному поведению и гипотезам о методах его лечения. Говорят, некоторым удается стабилизировать ситуацию при помощи шаманских приемов.

Но, разумеется, тезис о текущей кривизне и нестабильности IE7 оспаривать не буду, пока не перейду на него окончательно.
19 дек 07, 15:03    [5069016]     Ответить | Цитировать Сообщить модератору
Топик располагается на нескольких страницах: Ctrl  назад   1 [2] 3   вперед  Ctrl      все
Все форумы / Windows Ответить