[Daemon.XP]

а можно и мое правило прикрутить и посмотреть че каво

[Aleksey Potapov]

И ещё....Всё-таки помогите тут же- на этом серванте поднять общедоступный VPN.Чтобы с любого компа из вне мог цепляться к серверу и лазить по внутренней сети.

[Dimas_83]

На лицо неверное написание правил и их порядок

1. Все правила публикации (правила 5 и 6) должны быть сверху после OWA
2. Зачем что-то запрещать, если можно не разрешать.
3. 10 правило - это нарушение безопасности в целом. УБРАТЬ!
4. 8 правило изменить в соответствии с доступом (по компьютерам или по учетным записям (FWC) )
5. для VPN нужно в разделе VPN ISA разрешить подключение по средствам PPTP или L2TP (IPSEC), далее выбрать кто и когда будет подключаться, через какие протоколы аутентификации, далее в правилам firewall создать для них правила VPN clients to Internal ну или куда нужно. Во вкладке Networks создать правило (если вдруг оно автоматом не создалось) для VPN clients to internal через Route
6. правила сетей не имеют приоритезации, но! правило NAT должно быть последним
7. установи Sp3 в случае ISA 2004. Включи Logging (Вкладка Monitoring). Все "забитые" пакеты будут помечаться красным. Очь удобно
8. скачай ISA Server Best Practices Analyzer, чтобы убедится (ну хоть в какой-то мере), что все в порядке

Прикрепил картику, может поможет

[Aleksey Potapov]

Суть такова.
VPN подключается ,а вот присоединиться к серванту средствами удалённого рабочего стола не могу.....пинг тоже не проходит.

[Aleksey Potapov]

Фишка такова.Рассказываю что есть.
Почтарь работающий как локальный почтовый сервер и так и ходящий наружу.....соответственно почта должна ходить и с него и на него как из нутри так и внутрь.
Есть куча студентов ,которым надо запретить выход в инет.
Запретить порты Квипа и аси(если можно то помочь с квипом более детально).
Ну соответственно VPN работал.
Ну и локальный трафик чтоб работал полностью.

[Aleksey Potapov]

Вопрос-Есть ли в исе функция что когда к тебе подключаются по VPN то инет на серванте не пропадает?
Прикладываю ниже правила которые нарисовал.

[Dimas_83]

п.с. русский язык намного обширнее, чем ты думаешь.

Не сильно понял какую именно роль выполняет почтовый сервер, но я бы правила поставил так (смотри вложение)
По поводу ICQ, QIP, Miranda etc - все они используют порт 5190
В пятом правиле заменяешь All outbound traffic на те протоколы, которые нужны, например, http+https+pop3+smtp
И они не смогут работать с аськами и квипами.

Далее, если впн клиент подключается, значит политика впн сработала, но не пускают правила фаервола.
По поводу RDP. Нужно опубликовать сервер на этот протокол. Не забудь включить функцию удаленного контроля в политике фаервола ИСЫ.

Теперь посмотрим на правила:
1 правило - это публикация mail сервера для подключения к нему из Интернета по SSL
2 правило - публикует сервер как SMTP сервер на вход! Зачем??? ты сделал анонимный SMTP
3 правило - ммм, а что оно делает?
4 правило - протоколы соединения сервера (почта, SUS...) с внешим источником синхронизации
5 правило - доступ в интернет для внутренней сети, здесь нужно указать необходимые проктолы и разрешенных юзеров
6 правило - разрешает впн клиентам доступ во внутреннюю сеть и сервер
7 правило - локальный трафик между внутренней сетью и сервером
8 правило - правило для блокирования траффика, который удовлетворил ни одному из правил

В любом случае, переделай правила, включи мониторинг и смотри: что, куда и зачем стучится

[Aleksey Potapov]

Спасибо за помощь.
Тобешь иду я в правильном напрвлении?

[Aleksey Potapov]

Далее, если впн клиент подключается, значит политика впн сработала, но не пускают правила фаервола.
По поводу RDP. Нужно опубликовать сервер на этот протокол. Не забудь включить функцию удаленного контроля в политике фаервола ИСЫ.




Можно Об этом поподробнее.

[Aleksey Potapov]

вот те правила по вашим рекомендациям