Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   ISA Server / Microsoft Forefront TMG (http://forum.oszone.net/forumdisplay.php?f=98)
-   -   С группой Все пользователи все работает, без него никого не пускает (http://forum.oszone.net/showthread.php?t=138874)

RinatG 28-04-2009 15:28 1106365
С группой Все пользователи все работает, без него никого не пускает
 
Тема может и не свежа, но решения пока не встретил: задача - допустить в инет только некоторых пользователей домена. Для этого на контроллере создал группу inet, в ISA 2006, создал группу в которую включил inet. Создал правило доступа из локальной сети во внешнюю для этой группы, но доступа нет. При добавлении преднастроенной группы Все пользователи все и получают доступ (то есть есть связь, но для всех включая inet) Пробовал разные комбинации, но так и не понял, что в предопрелеленной группе есть такого, что без него не идет???

Хотя можно канечна всех допустить, а как исключение добавить пользователей которым инет запрещен. Но каждый новый пользователь домена будет иметь права на инет (пока админ не исправит), а это не справдливо с точки зрения руководства

Aleksey Potapov 28-04-2009 17:56 1106494
ISA в домене?
Клиенты FWC на рабочих станциях стоят? Или ISA в роли прокси?

Delirium 29-04-2009 02:01 1106864
RinatG, приведите список правил ISA скриншотом.
В самом простейшем варианте должно быть 2 правила(строго в порядке сверху вних):
1. Разрешить - из Internal в External - протоколы FTP, HTTP, HTTPS - для InternetUsers.
2. Правило по умолчанию - deny all

Без списка правил мы будем долго гадать.

RinatG 29-04-2009 07:33 1106913
Сам сервер ISA в домене, AD пользователей и групп видит отлично (а что такое FWC? :)). Прокси настраивал следующим образом: настроил интерфейсы, установил в WS 2003 блок маршрутизация и удаленный доступ, поставил ISA. Правил всего два - допустить весь исходящий трафик из "внутренняя" во "внешняя" пользователям "inet".

Delirium 29-04-2009 07:35 1106914
RinatG, прочтите внимательно пост номер 3. скриншот.

RinatG 29-04-2009 07:37 1106915
Delirium, для скрина фотошопа нет под рукой, могу канечна отослать скриншотовский вариант (неужатый)...???

RinatG 29-04-2009 08:27 1106932
Вложений: 1
Сори, торможу. Вот... http://forum.oszone.net/attachment.p...1&d=1240979125

RinatG 29-04-2009 09:09 1106956
По косвенным материалам я понял, что еще нада установить на клиентах фаерволклиенты и только после этого доменные пользователи смогут получить выход в инет. Что то ерунда получается какая то, не совсем удобная интеграция в AD

Aleksey Potapov 29-04-2009 09:21 1106961
фаерволклиенты - FWC - про них я и говорил.
К сожалению Вы не понимаете работу ISA СЕРВЕРА -точнее обработку им правил - коротко скажу - в одном правиле не моут сосуществовать "Все пользователи" и ещё какия либо группа пользователей - тоесть Ваше первое отключенное правило уже не будет работать.
Для авторизации ползьователй можно использовать ISA сервер в роли прокси сервера - при этом будет ограничеваться тот доступ к сети интернет, который будет иметь доступ к настройкам прокси - тоесть в болшинстве случаев - это браузеры. Соответственно мы можем управлять только пресуще ему протоколами -80, 8080 и т.п.
Если же мы хотим использовать ISA сервер в роли шлюза в интернет с полным рулением трафика изнутри сети , то нам будет необходимо поставить FWC на каждую доменную клиентскую машину - при этом мы уже можем рулить и poop3 и т.п.
Так же - для безопасности да и вообще - про ДНС - Вам необходимо настроить Ваш внутренний ДНС сервер на посылку запросов в интернет, а остальным отлуп. Тоесть - у клиентов прописаны только ваши ДНС. Соответственно мы в правилазх ISA сервера должны создать правило - разрешить от ДНС серверов (локальных) рафик по протоколу DNS в сторону интернет всм пользователям.

Для того чтобы понять да и просто базово настроить ISA сервер , я Вам рекомендкю воспользоваться документацией на isadocs.ru
Так же не принебригайте таким источником как technet - technet.microsoft.com - раздел бибилиотека.

RinatG 29-04-2009 14:39 1107181
aptv, да, спасибо, Ваш вопрос меня и натолкнул на эту мысль, немного порылся в инете ... и маленькая победа: скачал и поставил тот самый FWC у себя - инет есть.
Работу сервера может я и не понимаю, а кто же его понял сразу? В общем работаю над этим недостатком, вот книжку скачал... читаю обдумываю. Ну думаю проблемы еще будут (уже с Клиент банком ботва какая то творится) в общем буду частым гостем форума :).
Спасибо за помощь, тему можно закрывать.

Aleksey Potapov 29-04-2009 14:42 1107183
RinatG, По поводу банк клиента - http://www.amicon.ru/forum/viewtopic.php?t=454

Пользуйтесь логами - Вам они помогут.

Delirium 30-04-2009 01:21 1107606
Че то вы в дебри забрались. Список правил неверный. В частности, самое первое правило ВООБЩЕ не нужно.
Достаточно 2-го и 3-го.

Для работы инета на машинах НЕОБЯЗАТЕЛЬНО вовсе ставить firewall Client'а. Достаточно на машине в качестве шлюза по умолчанию выставить адрес ISA сервера и в настройках IE прописать подключение через прокси. И все будет работать. FWC нужен для других целей немного.

Второе правило необходимо модифицировать. Не надо разрешать ВЕСЬ исходящий трафик. Достаточно только основные протоколы (HTTP, FTP, HTTPS, SMTP, POP3). Нюансов много, читайте Томаса Шиндера :)


Время: 12:11.

Время: 12:11.
© OSzone.net 2001-