ISA 2004 не понимаю КАК работают правила
Модератор: Модераторы
1 сообщение
• Страница 1 из 1
AlexLAV » 30 сен 2005, 21:39
Добрый!
WIN 2003 EE w/o SP as рядовой сервер в домене на котором исполняеться сабж
WIN 2003 EE w/o SP as DC (1 only) на коем MS Exchange 2003 EE SP1 не пинайте - денег нету на тачку есче одну.
Начну с конца в котором интерент: это aDSL router D-LINK 500g (слава длинку за победу над ценой)
стоит он в режиме роутера
то есть на NIC что в ISA2004 SE SP1 серый IP 10.1.1.2
для того чтобы работал 25 порт сделал правило на D-LINK'e:
NAT Rule - Detail
NAT Rule Information
Rule ID: 10
Rule Flavor: RDR
IF Name: ppp-1
Protocol: TCP
Local Address From: 10.1.1.1
Local Address To: 10.1.1.2
Global Address From: 217.70.?.? (REAL IP)
Global Address To: 217.70.?.? (тот же самый REAL IP)
Destination Port From: 25
Destination Port To: 25
Local Port: 25
может и не правильно, но так как они пишуть http://www.dlink.ru/technical/faq_internet__4.php - не работает.
потом есть ISA 2004 SE SP1 тут все и начинаеться веселье!
есть рулезы
сначала идут MAIL SERVER PUBL. RULE
Exchange 2003 EE SP1 стоит на DC в локалке
Там все ясно - не я делал - Wizard делал
протокол - SMTP server - FROM internal external localhost TO 192.168.1.1
протокол - SMTPs server - FROM internal external localhost TO 192.168.1.1
потом у меня шли всяческие руле которые я наделал для DNS
для pptp для GRE и тп - то есть работающие для ALL users на ALLOW
потом пользовательские руле - для мыла клиентского для веба для snat клиентов - соседи
Начинаеться КАРАУЛ - юзвери жалуються что нету мыла
отправляю с мыла ру на свой домен письмо - смотрю в GFI монитор и вижу как была сессия
через нескока минут письмо в ящике
дай думаю повторю!
Повторяю эксперемент GFI MONITOR молчит!!!
смотрю logigng ISA - а там DENAID по правилу SMTP for all
в ем - протокол smtp сто пудов разрешен
меняю условия правили много раз меняю
вплоть до того что по smtp всем все анивере
не работает
а протокол этот был на мете так 8
после всех системных
поднимаю еге на 3 место
APLY
снова мылю и вижу как ссесия проходит на ура!
причем по правилу №1 - smtp server
протокол - SMTP server - FROM internal external localhost TO 192.168.1.1
а ведь эти то правила я не трогал!
и она запрещала почту по правиду к этому соеденению получаеться не относящемуся!
и запрещала не железно!!!! то есть соеденение то нет!!!
а после того как изменил другое правило нижнее - нате пожалуйста - друг ЭТИ же самые соденения стали обрабатыватьс ВЕРХНИМИ правилами!!!!
я очень не понимаю.
"Далее ISA Server проверяет по порядку вначале правила системной политики, а затем — правила политики брандмауэра. Если правило системной политики или политики брандмауэра разрешает запрос, то ISA Server идет далее, обрабатывая исходящий запрос. Иначе, трафик отклоняется.
Наконец, ISA Server проверяет снова сетевые правила для определения того, должен ли быть трафик маршрутным или NAT. Также, ISA Server проверяет правила web цепочки (если клиент Web Proxy запросил этот объект) или цепочечную конфигурацию брандмауэра (если клиент SecureNET или Брандмауэра запросил этот объект) для определения способа обслуживания запроса.
Должно быть ясно, что логика позади обработки сетевых правил откровенная и прямая. Или есть отношение, или его нет. Однако, то, как ISA server определяет, когда правило системной или брандмауэрной политики должно разрешить или запретить трафик, не так хорошо определено в этом месте. Причина этой неопределенности в том, что нет простого ответа на этот вопрос. Мы только уверенно знаем одну вещь — что правила системной политики применяются перед правилами политики брандмауэра, и что ISA Server оценивает правила системной и брандмауэрной политик одинаковым способом."
и там же:"Другая ключевая концепция — что ISA Server оценивает политику брандмауэра строго по порядку. Когда правило доступа совпадает с параметрами запроса, это правило применяется и ISA Server не проверяет запрос по другим правилам."
Это не единственная проблема по которой бы хотел получить помощь но самая насущная так как не ясно мне - по каким правилам играет ISA 2004!!!
Присоединенное изображение
WIN 2003 EE w/o SP as рядовой сервер в домене на котором исполняеться сабж
WIN 2003 EE w/o SP as DC (1 only) на коем MS Exchange 2003 EE SP1 не пинайте - денег нету на тачку есче одну.
Начну с конца в котором интерент: это aDSL router D-LINK 500g (слава длинку за победу над ценой)
стоит он в режиме роутера
то есть на NIC что в ISA2004 SE SP1 серый IP 10.1.1.2
для того чтобы работал 25 порт сделал правило на D-LINK'e:
NAT Rule - Detail
NAT Rule Information
Rule ID: 10
Rule Flavor: RDR
IF Name: ppp-1
Protocol: TCP
Local Address From: 10.1.1.1
Local Address To: 10.1.1.2
Global Address From: 217.70.?.? (REAL IP)
Global Address To: 217.70.?.? (тот же самый REAL IP)
Destination Port From: 25
Destination Port To: 25
Local Port: 25
может и не правильно, но так как они пишуть http://www.dlink.ru/technical/faq_internet__4.php - не работает.
потом есть ISA 2004 SE SP1 тут все и начинаеться веселье!
есть рулезы
сначала идут MAIL SERVER PUBL. RULE
Exchange 2003 EE SP1 стоит на DC в локалке
Там все ясно - не я делал - Wizard делал
протокол - SMTP server - FROM internal external localhost TO 192.168.1.1
протокол - SMTPs server - FROM internal external localhost TO 192.168.1.1
потом у меня шли всяческие руле которые я наделал для DNS
для pptp для GRE и тп - то есть работающие для ALL users на ALLOW
потом пользовательские руле - для мыла клиентского для веба для snat клиентов - соседи
Начинаеться КАРАУЛ - юзвери жалуються что нету мыла
отправляю с мыла ру на свой домен письмо - смотрю в GFI монитор и вижу как была сессия
через нескока минут письмо в ящике
дай думаю повторю!
Повторяю эксперемент GFI MONITOR молчит!!!
смотрю logigng ISA - а там DENAID по правилу SMTP for all
в ем - протокол smtp сто пудов разрешен
меняю условия правили много раз меняю
вплоть до того что по smtp всем все анивере
не работает
а протокол этот был на мете так 8
после всех системных
поднимаю еге на 3 место
APLY
снова мылю и вижу как ссесия проходит на ура!
причем по правилу №1 - smtp server
протокол - SMTP server - FROM internal external localhost TO 192.168.1.1
а ведь эти то правила я не трогал!
и она запрещала почту по правиду к этому соеденению получаеться не относящемуся!
и запрещала не железно!!!! то есть соеденение то нет!!!
а после того как изменил другое правило нижнее - нате пожалуйста - друг ЭТИ же самые соденения стали обрабатыватьс ВЕРХНИМИ правилами!!!!
я очень не понимаю.
"Далее ISA Server проверяет по порядку вначале правила системной политики, а затем — правила политики брандмауэра. Если правило системной политики или политики брандмауэра разрешает запрос, то ISA Server идет далее, обрабатывая исходящий запрос. Иначе, трафик отклоняется.
Наконец, ISA Server проверяет снова сетевые правила для определения того, должен ли быть трафик маршрутным или NAT. Также, ISA Server проверяет правила web цепочки (если клиент Web Proxy запросил этот объект) или цепочечную конфигурацию брандмауэра (если клиент SecureNET или Брандмауэра запросил этот объект) для определения способа обслуживания запроса.
Должно быть ясно, что логика позади обработки сетевых правил откровенная и прямая. Или есть отношение, или его нет. Однако, то, как ISA server определяет, когда правило системной или брандмауэрной политики должно разрешить или запретить трафик, не так хорошо определено в этом месте. Причина этой неопределенности в том, что нет простого ответа на этот вопрос. Мы только уверенно знаем одну вещь — что правила системной политики применяются перед правилами политики брандмауэра, и что ISA Server оценивает правила системной и брандмауэрной политик одинаковым способом."
и там же:"Другая ключевая концепция — что ISA Server оценивает политику брандмауэра строго по порядку. Когда правило доступа совпадает с параметрами запроса, это правило применяется и ISA Server не проверяет запрос по другим правилам."
Это не единственная проблема по которой бы хотел получить помощь но самая насущная так как не ясно мне - по каким правилам играет ISA 2004!!!
Присоединенное изображение
1 сообщение
• Страница 1 из 1
Вернуться в Межсетевые экраны (Firewall) и Прокси серверы (Proxy)
Кто сейчас на конференции
Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 14