иса режет трафик, разрешающим правилом 0_0

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- ISA Server / Microsoft Forefront TMG (http://forum.oszone.net/forumdisplay.php?f=98)

- - иса режет трафик, разрешающим правилом 0_0 (http://forum.oszone.net/showthread.php?t=194239)

иса режет трафик, разрешающим правилом 0_0

Господа Isa ведет себя весьма странно. имею DC, и Isa. DC соответственно несет роль dns и dhcp. Dns перенаправленны на провайдерские сервера. Isa, шлюз по умолчанию. Создаю правило, которое разрешает ходить в интернет именно пользователю(к примеру пользователь pupkin). То есть иса берет информацию из LDAP каталога, для того что-бы обеспечить доступ. После этого начинаются чудеса. Этот пользователь может идти в нет, но весь остальной трафик, который не прошел авторизацию, режется. Причем если посмотреть мониторинг, режется он именно правилом allow all trafic from internal to external for user pupkin. При этом, даже DNS запросы, которы системными правилами isa server-а пропускаются всегда и везде, перестают ходить. То есть мой днс, не может переправить запросы на днс провайдера. Я в замешательстве, помогите кто-нибудь =(
Версия isa server 2006

Цитата:

Цитата Matr_os_kin

Этот пользователь может идти в нет, но весь остальной трафик, который не прошел авторизацию, режется. »

Трафик же не прошел авторизацию, значит ISA правильно его не пропустила. Приведите скрин правил которые у Вас есть.

Цитата:

Цитата Matr_os_kin

При этом, даже DNS запросы, которы системными правилами isa server-а пропускаются всегда и везде, перестают ходить. »

Где в системной политике Вы нашли правило которое разрешает хождение DNS трафика через ISA сервер, номер правила скажите? Правило разрешающее прохождение DNS запросов необходимо создавать.

Пардон, видимоя перепутал. Принял правило №8 за правило разрешающее DNS трафик для всех. Как можно сделать, что-бы неавторизованный трафик тоже проходил, или это не реально? Правила у меня сейчас выглядят таким образом.

Цитата:

Цитата Matr_os_kin

Как можно сделать, что-бы неавторизованный трафик тоже проходил, или это не реально? »

У Вас ISA клиент установлен на машине пользователя? Хотя через него весь трафик тоже не завернете. Если у Вас человек работает постоянно только за одним компьютером то проще будет разрешить весь трафик с определенного ip адреса.

На машине пользователя да, на DC тоже.

И такой вопрос, правило разрешающее ДНС трафик. Оно делается в виде: Разрешить указанному серверу, посылать трафик по протоколу tcp\udp по 53-му порту. Я правильно понял?

Цитата:

Цитата Matr_os_kin

И такой вопрос, правило разрешающее ДНС трафик. Оно делается в виде: Разрешить указанному серверу, посылать трафик по протоколу tcp\udp по 53-му порту. Я правильно понял? »

Да правильно.

Спасибо =) А как быть с анонимным трафиком? Бьюсь давно уже... =(

Цитата:

Цитата Matr_os_kin

А как быть с анонимным трафиком? Бьюсь давно уже... =( »

Уточните о каком трафике идет речь и какие приложения генереруют этот трафик?

DNS и ICMP вы не аунтифициуете, иже как и часть других протоколов.
имеет смысл такие вещи вынести отдельным правилом без аунтификации, а аунтифицировать траффик http/https/ftp/icq/smtp/pop и тд.

С анонимным трафиком разобрался. Хотя почему он стал ходить, так и не понял. Настроил правило для хождения ДНС трафика. И после этого все заработало. Проходят как запросы ДНС (анонимные)Так и авторизованныйтрафик. Вот только почему не понятно. Правило, которое запрещает хождение на определенные адреса, полностью перестало работать. Щас правила выглядят так. Верхнее запрещает хождение на указанные сайты, остальные разрешают соответственно запросы днс, инет по выбранным протоколам 2-м юзерам, и полный доступ, для localhost

покажите скрин logging-monitorig с настроенным фильтром, в момент запроса одного из запрещённых сайтов