[Anton04]

YDen,

Иса и AD на разных машинах?
Аутентификация нужна для этих групп пользователей?

Если не нужна делаем так:
1. Создаём правило разрешающее с определённых IP всем пользователям выход в инет. Это правило помещаем почти в самый низ.
2. В других нужных правилах добавляем исключения этих IP адресов.

Если нужна делаем так:
1. Разрешаем базовую аутентификацию (т.е. открытым текстом по логину и паролю).
2. Создаём учётку(и) на исе.
3. Создаём правило разрешающее выход в инет для созданных ранее учёток.

[Telepuzik]

YDen
Варианты:
1. Создать доменного пользователя, прописать в настройках браузера адрес прокси сервера и сказать пользователям логин и пароль для доступа в интернет.
2. Если есть DHCP сделать привязку ip по MAC адресу для определенных компьютеров. На ISA создать правило разрешающие доступ для определенных ip без авторизации.

[YDen]

Сделал, но еще больше в непонятках. Появились вопросы. Если не трудно, поясните пожалуйста, что я сделал неверно.

Ноут, не принадлежащий ЛВС, в свойствах сетевого интерфейса стоит IP 192.168.0.75, маска, шлюз - адрес сервера с ИСОЙ, днс - тот же адрес что и ИСА. В Свойствах подключения обозревателя http прокси поставил имя сервера ИСЫ, порт 80.

1.
Опишу по шагам:
Исходные данные: сервер на Вин 2003, на нем ИСА 2006, АД, ДНС. На ИСЕ в свойствах внутренней сети:
-диапазон адресов: 192.168.0.0-192.168.0.255 (все машины ЛВС лежат в этом диапазоне),
-доменные имена: *.firma.local
-напрямую обращаться к след.серверам и доменам - *.firma.local
-автообнаружение отключено (на всех машинах стоит FWC, вручную внесен имя сервера ИСЫ
-включена поддержка FWC, стоит галка Использовать сервер вэб-прокси
-включено подключение клиентов вэб-прокси для данной сети, HTTP 80
-проверка подлинности - встроенная.

НА ИСЕ создал разрешающее правило: ноут (внес в ису ip ноута)-внешняя, HTTP, Все пользователи.

При запросе вэб-страниц все открывает. Норма. Но хочется немного подстраховаться. Если в указанном выше правиле ставлю определенного пользователя, то интернет на ноуте не идет, запроса пароля нет.
Хотелось бы, чтобы пользователь подключившись к сети, мог "ходить" по сети (локальной) только введя имя пользователя и пароль. Так же при подключении к интернету происходила авторизация. Это нужно для безопасности и контроля трафика. А то любой может прийти со своей техникой, вбить настройки и работать в интернете.

2. Клиенты ЛВС ходят в инет только с использованием FWC - какие настройки во внешней сети поставить в закладках FWC и Вэб-прокси. Что сейчас стоит я описал выше.

3. Для клиентов гостей, вроде описанного выше случая с ноутом, создаю еще одну внутреннюю сеть, прописываю диапазон 192.168.0.70-192.168.0.80, остальные настройки идентичны первой Внутренней сети. Но интернет в этом случае не работает на ноуте - госте. Более того в Наблюдении-Ведении журнала я не вижу запросов с 192.168.0.75. Хочу чтобы настроки для клиентов домена были одни, а клиентов-гостей - другие.

4. Создано правило для системных протоколов (типа 53 порта) - стоит Все пользователи. Если ставлю Все прошедшие проверку пользователи - сеть становится недоступной. Для чего нужен Все прошедшие проверку пользователи?

Для пользователей домена в ИСЕ созданы персональные правила для выхода в инет, и правило для работы сети (типа 53 порта) для Все пользователи.

Подскажите, пожадуйста, где я ошибся и как нужно правильно.

Спасибо что уделили внимание проблеме.

[Anton04]

YDen,

Плохо читал мой пост, перечитай ещё раз, глядишь вопросов поубавится.

[YDen]

Сегодня сделал:

- установил способ авторизации заместо Встроенная поставил Обычная. На ноуте при запросе вэб-страниц стало появляться окно авторизации, но машины в сети перестали видеть сеть и сервер соответственно - убрал обратно на Встроенная

- опять попробовал создать дополнительную Внутреннюю сеть для диапазона 192.168.0.70\79. Создал сетевое правило Внутренняя сеть-Внутренняя сеть гостей, тип Маршрутизация, установил его после внутренней сети. Сетевые правила установлены на основе шаблона Пограничный экран. Итог - ноут не видит сеть, в Ведении журнала нет запросов от 192.168.0.75. Дополнительную внутреннюю сеть создавал, чтобы для клиентов-гостей поставить авторизацию Обычная.

[Anton04]

YDen,

Цитата YDen:

опять попробовал создать дополнительную Внутреннюю сеть для диапазона 192.168.0.70\79. »

Ошибка, т.к. у тебя во внутреннюю сеть входит и этот диапазон, ничего не выйдет. Или назначай другой диапазон или выделяй всё в отдельную сетевуху.

[YDen]

Цитата Anton04:

Ошибка, т.к. у тебя во внутреннюю сеть входит и этот диапазон, ничего не выйдет. Или назначай другой диапазон или выделяй всё в отдельную сетевуху. »

Во Внутренней сети1 исключил этот диапазон.

[Shera_Best]

что такое FWC?
где его искать у клиентов?

[Delirium]

Цитата Shera_Best:

что такое FWC? »

это Firewall Client. Входит в дистриб ISA, после установки создается общая папка mspclnt, в ней лежат файлы установки.

Цитата Shera_Best:

где его искать у клиентов? »

В трее возле часов.