информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Атака на InternetSpanning Tree Protocol: недокументированное применениеВсе любят мед
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Microsoft обещает радикально усилить... 
 Ядро Linux избавляется от российских... 
 20 лет Ubuntu 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / sysadmin
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
Другие непонятки 13.04.07 09:10  Число просмотров: 3774
Автор: Cyber_Onix Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Не могу понять как сделать разрешение ВСЕГО трафика от сети 192.168.0.0/16 на машину с ISA. Имеется правило allow from internal (а в свойствах сети укакзан диапазон как раз 192.168.0.0/16) на localhost. в логах по фильтру на deny имеем

192.168.18.9 DC - TCP - - 13.04.2007 4:59:21 11895 0 0 0 0xc0040017 FWX_E_TCP_NOT_SYN_PACKET_DROPPED 0x0 0x0 Firewall - 13.04.2007 8:59:21 Internal 192.168.18.9 192.168.18.10 3268 Local Host LDAP GC (Global Catalog) Denied Connection

И почему?
<sysadmin>
ISA сервер в качестве прокси 11.04.07 13:57  
Автор: Cyber_Onix Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Всем привет.
Возникла необходимость поднять на сервере с одним сетевым интерфейсом ISA. На том же сервере работает WSUS.
Проблема в том, что если в настройках Internal ставишь использование прокси и обязательную авторизацию, то пользователи не могут получать обновления... а если убрать обязательную авторизацию - то ходят в инет как анонимные.
Поскольку ису вижу первый день - хелп неедед....
Они (клиенты) хоть как то получают обновления, в каком нибудь случае? Обновления идут с ВСУС или ВСУС отдает список, а тянуться с сайта МС. А сколько вообще клиентов? 11.04.07 21:10  
Автор: Garick <Yuriy> Статус: Elderman
<"чистая" ссылка>
Ранее они получали обновление именно с этого сервера (DC),... 11.04.07 21:45  
Автор: Cyber_Onix Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Ранее они получали обновление именно с этого сервера (DC), на него закачиваются и отдаются клиентам (порядка 200 машин)
"Ранее" - что является милестоуном? Установка ИСА, настройка авторизации на ИСА? После каких действий перестало раздавать обновления. (1/2 офф) жестоко вы ДС, надеюсь запасной ДС есть? Или СБС лицензия? 12.04.07 02:03  
Автор: Garick <Yuriy> Статус: Elderman
<"чистая" ссылка>
Ранее - это до установки ISA и настройки проксирования с... 12.04.07 08:53  
Автор: Cyber_Onix Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Ранее - это до установки ISA и настройки проксирования с обязательной авторизацией на локальном интерфейсе. (хотя может и до этой настройки - действия были практически не разнесены по времени). После этого было замечены отказы на обращения к WSUS в логах.

ДЦ - две штуки, но на втором exchange :)



"Ранее" - что является милестоуном? Установка ИСА, настройка авторизации на ИСА? После каких действий перестало раздавать обновления. (1/2 офф) жестоко вы ДС, надеюсь запасной ДС есть? Или СБС лицензия?
WSUS поднимается, как правило, не на 80 порту. Точнее можно посмотреть в оснастке IIS. Этот порт разрешен в ИСА на in/out для internal - localhost? Что говорит монитор? Хотя его тяжело отстроить, ВСУС запросы редко идут... 12.04.07 09:52  
Автор: Garick <Yuriy> Статус: Elderman
Отредактировано 12.04.07 09:53  Количество правок: 1
<"чистая" ссылка>
Другие непонятки 13.04.07 09:10  
Автор: Cyber_Onix Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Не могу понять как сделать разрешение ВСЕГО трафика от сети 192.168.0.0/16 на машину с ISA. Имеется правило allow from internal (а в свойствах сети укакзан диапазон как раз 192.168.0.0/16) на localhost. в логах по фильтру на deny имеем

192.168.18.9 DC - TCP - - 13.04.2007 4:59:21 11895 0 0 0 0xc0040017 FWX_E_TCP_NOT_SYN_PACKET_DROPPED 0x0 0x0 Firewall - 13.04.2007 8:59:21 Internal 192.168.18.9 192.168.18.10 3268 Local Host LDAP GC (Global Catalog) Denied Connection

И почему?
Весь трафик тебе не нужен. 16.04.07 14:37  
Автор: Den <Денис Т.> Статус: The Elderman
<"чистая" ссылка>
Чтобы клиенты могли работать с DC, тебе необходимо разрешить следующие подключения:
DNS (TCP/UDP 53)
Kerberos (TCP/UDP 88,749)
LDAP (TCP/UDP 389)
LDAP GC (TCP 3268)
LDAP GC SSL (TCP 3269)
LDAPS (TCP 636)
Microsoft-DS (TCP 445)
RPC/EPMAP (TCP 135)
RPC allocated (определяется через rpccfg.exe или 1024-65535)

Для прочих прелестей, также необходимо добавить:
DHCP/BOOTP (UDP 67,68)
NetBIOS-DGM (UDP 138)
NetBIOS-NS (TCP/UDP 137)
NetBIOS-SSN (TCP 139)
NTP (UDP 123)
Ping (ICMP)
Забыл:) Для ДХЦП надо разрешить броадкаст. 16.04.07 15:15  
Автор: Garick <Yuriy> Статус: Elderman
<"чистая" ссылка>
Броадкаст откуда, куда и нафига? :) 16.04.07 15:40  
Автор: Den <Денис Т.> Статус: The Elderman
<"чистая" ссылка>
ДХЦП клиенты ищут и делают запрос адреса (у них еще нет ИП) ДХЦП сервер через запрос на 255.255.255.255. А сервер отвечает им аналогично. 16.04.07 15:47  
Автор: Garick <Yuriy> Статус: Elderman
Отредактировано 16.04.07 15:50  Количество правок: 1
<"чистая" ссылка>
Дык я написал, что треба разрешить входящий трафик dhcp/bootp (udp 67,68) 16.04.07 16:15  
Автор: Den <Денис Т.> Статус: The Elderman
<"чистая" ссылка>
Мы спорим о разных категориях:) Я об соурсе и дестинешн, а не портах. ИСА должна принимать трафик направленный на 255,255,255,255 через локальный сетевой интерфейс, на данные порты. По дефолту не принимает и забывают открыть, открывая только localhost. 16.04.07 16:42  
Автор: Garick <Yuriy> Статус: Elderman
<"чистая" ссылка>
Был на 80, сейчас перенес на 81. Опубликовал сервер, сделал... 12.04.07 10:30  
Автор: Cyber_Onix Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Был на 80, сейчас перенес на 81. Опубликовал сервер, сделал проброс порта в листенере... вроде бы пока работает но криво...
Мне бы доку найти толковую по исе... да еще бы и на русском... :)

WSUS поднимается, как правило, не на 80 порту. Точнее можно посмотреть в оснастке IIS. Этот порт разрешен в ИСА на in/out для internal - localhost? Что говорит монитор? Хотя его тяжело отстроить, ВСУС запросы редко идут...
Есть курс МС 2824A по ИСА04, но на английском. НА русском, вроде нет курсов такого уровня. 40 метров. По запросу автора и member+ могу выложить на свой фтп. Пишите в личку. Внутри линки. 12.04.07 14:18  
Автор: Garick <Yuriy> Статус: Elderman
Отредактировано 12.04.07 14:20  Количество правок: 1
<"чистая" ссылка>
http://www.isatools.org/
http://isaserver.ru/
http://www.isaserver.org/
Можно попробовать WSUS через NAT ISA пускать. 11.04.07 15:47  
Автор: Den <Денис Т.> Статус: The Elderman
<"чистая" ссылка>
Но ИМХО, для анонимных подключений по идее можно настроить доступ только на определенные узлы, например на www.microsoft.com (во всяком случае, в KWF такая возможность есть).
I worked around ISA issues pretty long time ago. So, I could... 13.04.07 05:39  
Автор: void <Grebnev Valery> Статус: Elderman
<"чистая" ссылка>
> Но ИМХО, для анонимных подключений по идее можно настроить
> доступ только на определенные узлы, например на
> www.microsoft.com (во всяком случае, в KWF такая
> возможность есть).

I worked around ISA issues pretty long time ago. So, I could be mistaken. But ISA does not provide NAT. Am I missing something? ISA is not a router, but sooner a kind of proxy. If you want NAT, you should run RRAS; and then you can setup NAT on that box. Obviously, you cannot run ISA and RRAS on the same box at the same time.

Anyway, I am not sure.
Тем не менее, ISA прекрасно работает именно в связке с RRAS. 16.04.07 14:57  
Автор: Den <Денис Т.> Статус: The Elderman
<"чистая" ссылка>
[offtop] Надо иметь уважение к тем другим, кто не очень силен в англ. 16.04.07 14:07  
Автор: Den <Денис Т.> Статус: The Elderman
<"чистая" ссылка>
Мне-то понятно о чем речь, но не забывай, что многие ветки уходят рассылкой в основном по русскоязычной аудитории.
Неправильно. ISA всегда умела NAT 13.04.07 12:41  
Автор: ZloyShaman <ZloyShaman> Статус: Elderman
<"чистая" ссылка>
1  |  2 >>  »  




Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2024 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach