ISA 2004 доступ к одному https: сайту
Модератор: Модераторы
Сообщений: 9
• Страница 1 из 1
Rup_abc » 20 ноя 2006, 16:18
Нужно сделать так, что бы пользователь мог заходить на только на один банковский сайт. Например https://bank.tu.ru
Если создать правило
Protokos: https
From: comp1 (компьютер юзера)
To: External
Зайти на сайт можно, но и на другие тоже. Если же на закладке To указать из URL sets конкретный адрес (https://bank.tu.ru ) правило не срабатывает. А как надо?
Если создать правило
Protokos: https
From: comp1 (компьютер юзера)
To: External
Зайти на сайт можно, но и на другие тоже. Если же на закладке To указать из URL sets конкретный адрес (https://bank.tu.ru ) правило не срабатывает. А как надо?
- slz
- Активный пользователь
- Сообщения: 1229
- Зарегистрирован: 08 июл 2004, 06:17
- Откуда: Новосибирск
slz » 21 ноя 2006, 10:17
и в чем проблема?
Создаете правило:
Action- Allow
Ptotocol - HTTPS
From - Internal (или комп юзера, если он не пересядет вдруг за другой и не сменит IP)
To - URL (созадать URL Sets - xxx со строкой bank.tu.ru, без всяких http)
Condition - учетка данного юзера.
Создаете правило:
Action- Allow
Ptotocol - HTTPS
From - Internal (или комп юзера, если он не пересядет вдруг за другой и не сменит IP)
To - URL (созадать URL Sets - xxx со строкой bank.tu.ru, без всяких http)
Condition - учетка данного юзера.
Rup_abc » 21 ноя 2006, 11:50
так не получается. Причем если создать такое правило оно игнорируется и клиент пытается получить доступ по SSL-tunel не к bank.tu.ru, а к хосту с ISA!
И в результате дефолтным правилом соединение закрывается.
И в результате дефолтным правилом соединение закрывается.
- slz
- Активный пользователь
- Сообщения: 1229
- Зарегистрирован: 08 июл 2004, 06:17
- Откуда: Новосибирск
slz » 21 ноя 2006, 11:57
Какой порт использует банковская софтина для SSL-tunel?
Если вместо bank.tu.ru прописать IP?
Какой тип аутентификации пользователя используется?
Что в логе в поле Client User name?
В свойствах правила не стоит редирект на iSA?
Если вместо bank.tu.ru прописать IP?
Какой тип аутентификации пользователя используется?
Что в логе в поле Client User name?
В свойствах правила не стоит редирект на iSA?
Rup_abc » 21 ноя 2006, 12:30
1. 443
2. пока не пробовал, сейчас проэксперементирую
3. ISA без аутентификации
4. IP клиентского компа
5. Редирект не стоит.
2. пока не пробовал, сейчас проэксперементирую
3. ISA без аутентификации
4. IP клиентского компа
5. Редирект не стоит.
Rup_abc » 21 ноя 2006, 12:39
Попробовал поставить IP банковского сервера. Все заработало.
Причина:
Не был указан на интерфейсе, смотрящем в Inet внешний DNS.
Причина:
Не был указан на интерфейсе, смотрящем в Inet внешний DNS.
- slz
- Активный пользователь
- Сообщения: 1229
- Зарегистрирован: 08 июл 2004, 06:17
- Откуда: Новосибирск
slz » 21 ноя 2006, 14:06
Когда создаешь URL Sets, там на албанском написано: If the DNS is not configured correctly, rule using URL sets may not be applied as expected
А внешний ДНС прова лучше конфигурировать как форвардинг на внунтреннем ДНС сервере или самому резолвить, если пров косячит.
А внешний ДНС прова лучше конфигурировать как форвардинг на внунтреннем ДНС сервере или самому резолвить, если пров косячит.
Harry33 » 21 ноя 2006, 18:41
Rup_abc
Нет, на внешнем интерфейсе ISA прорисовывай DNS провайдера, на внутреннем DNS ставиш форвард на внешний и на ISA разрешаеш внутреннему DNS серверу DNS трафик с DNS сервером оператора связи (ISP).
Нет, на внешнем интерфейсе ISA прорисовывай DNS провайдера, на внутреннем DNS ставиш форвард на внешний и на ISA разрешаеш внутреннему DNS серверу DNS трафик с DNS сервером оператора связи (ISP).
Знания, которые нельзя применить - бесполезны
Сообщений: 9
• Страница 1 из 1
Вернуться в Межсетевые экраны (Firewall) и Прокси серверы (Proxy)
Кто сейчас на конференции
Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 13