Добрый день. Есть ISA Server, юзеры в домене. Шлюз в сетевых настройках используется он. Добаваляю правало на блокировку сайтов. Но некоторые, особо умные, выключив в браузере использование proxy, входят. Не могу сообразить , как их обломать? Предложения, типа бить в лицо при обноружении выключения не предлогать. Из-за некторых криворучнонаписанных прог, приходится давать права локального админа(жесть, знаю но выхода нет). Так вот, может-ли ISA делать что-то вроде "если настроек на прокси нет, а шлюзом является она, то в обще пшли в пень"?

RastaCatу ISA есть Firewall Client, который ставиться на компы в домене, и на ISA можно запретить доступ к инету без этого клиента.
Я больше программер чем админ. Скажи пожалуйста поподробней, как без установки клиента блокировать?

да блин... выключив в браузере использование прокси им пофиг становится на правила. чо там смотреть то. ну вижу что вышли.. запретить-то как?

добавляю в domain name sets-типа bed sites... добавляю маски туда, приписываю к правилу юзеров.. пробую на себе. если в браузере стоит "использовать прокси" то все работает, снимаю галку, "добро пожаловать"

Green2kill_zdm> снимаю галку, "добро пожаловать"
По какому правилу)))? Выяснил?
--

Posted via ActualForum NNTP Server 1.4

Правило создано так. deny, protocols-all outbound trafic, From-all Networks(and local host), to-bed sites/ в bed sites- прописаны маски(domain nem sets) и пользователей... как еще то?!?!?!?.. ставлю в IE или OPERA использовать прокси..норм все, не пускает. Снимаю галку разрешает. Правила снес даже все. Оставил только all allow, и all deny - оно идет первым и работает но только при включенных настройках браузера

Прошу у Всех прощения, нашел неправильность настройки сети. В этом вся ботва и была. Еще раз извините. Спасибо по любому за участие

А поскжите еще пожалуйста такую вещь. Борьба с логами и отсечением трудоемка. Слышал что есть блэклисты. Но и также что они все платные. А нет-ли бесплатных. Задолбали перекидываться ссылками на всякие тесты и прочую хрень. В общем даже не знаю как правильно спросить.... Поделитесь просто опытом борьбы.

ALex_hha авторДобрый день. Есть ISA Server, юзеры в домене. Шлюз в сетевых настройках используется он. Добаваляю правало на блокировку сайтов. Но некоторые, особо умные, выключив в браузере использование proxy, входят. Не могу сообразить , как их обломать?
вообще странно, недавно сам столкнулся с ISA. Так там по умолчанию все заблокировано и для выхода в инет, ты должен написать правило.
Братух, я уже разобрался. Спасибо. чуть выше прочти.. настройки сети неправильные были. В общем два правила просто, "все можно" и "можно кое-что"-с расширениями файлов и масками сайтов, если как на шлюз на ISA все настроенно то и настройки браузера не важны.. сразу в блок даже что "можно". А если мимо, то только через указание ISA как прокси в браузере... Мой косяк, недосмотрел, извинился

ALex_hhaАдмин меры будут наиболее эффективными, имхо.
Да прав ты конечно... но бывают всякие исключения из правил......

Anatoly PodgoretskyНе понял, у тебя что пользователи могут попадать в Интернет, минуя файрвол?
могли, теперь не могут

Anatoly PodgoretskyНе понял, у тебя что пользователи могут попадать в Интернет, минуя файрвол?
В общем до меня все было организованно, а ни чего нет хуже чем копаться в чужих наработках. Криво все было. А я сразу не догнал. В общем на CISCO все были, минуя ISA,она пограничной является. Посмотрев настройки сети увидел вроде ISA и запаниковал, но она еще и в качестве PDC тута, и настры увидел DNS ее, а не как шлюза. И получалось ,что настры файрвола все брали с CISCO и только если указав в качестве прокси- ISA включались правила... БРедово все, я уже это понял, буду переделывать

Crazy_Driver Anatoly Podgoretsky kill_zdm Anatoly PodgoretskyНе понял, у тебя что пользователи могут попадать в Интернет, минуя файрвол?
могли, теперь не могут
Поставил вторую сетевую карту?
Других же вариантов нет
Есть. Зарулить весь трафик, кроме прокси естессно, циской на прокси. И разрешить ходить наружу только прокси.
вово, вот так именно я и решил поступить.

Anatoly PodgoretskyА ISA наверно был только в режиме прокси, а не файрвола.
Она хоть в каком режиме будет. Но если у юзеров настроено получать адреса динамически от шлюза CISCO миную ISA, то и получается сей курьез. Только если явно указывать в качестве прокси в браузере. Иначе игнор.

в ISA 2004 кстати тоже нет режима только прокси.... по любому она и файрвол и прокси и кэш сервер

ALex_hha авторISA 2006 имеет три режима работы - Firewall, Proxy и Mixed
странно, в инете читал что только как Proxy нельзя настроить. А как это сделать, если не секрет?
по дефолту она становится файрволом. Даже если один сетевой интерфейс. Можно просто в качестве шлюза указать ее. Она получает адрес от шлюза. Остальные как сказал выше от нее. И все правила перекладываются на хосты. В доменной системе это точно работает. Так-же можно "прописку" сделать на конечном маршрутизаторе. Чтоб она не напрямую к провайдеру шла, а маршрутизировалась через ISA, а он уже маршрутил к провайдеру.. тут вариантов по ходу тьма. На счет режимов.. по сколько все правила выхода регламентируются именно firwall policy то соответственно и нет разгроничений от proxy, firewall... одно целое. Чтение политик идет с верху вниз. Правило -deny-не имеет настроек http,ftp.... только allow-имеет сеи настройки и запреты на расширения файлов или readonly - frp создаются в нем, не очень логично звучит, но так и есть. а глобальные заперты в правиле deny. в простом случае.
1. Создатьт два правила allow, deny
2. Создать domain name sets - bed_sites (вписать туда маски нежелательных сайтов)
3. Создать группу пользователей - "лохи"
4. В правило deny-добавить в From -all outbond trafic - TO - bed sites и в bed sites добавить пользователей кому запрещено
5. В правиле allow-настроить расширения http , точнее их запрет

ALex_hha авторРежим задается при инсталяции, для прокси достаточно одного интерфейса. Информация есть как в книгах, так и в TechNet, даже в рисунках.
не знаю, наверное я слепой. Но в SE можно было выбрать только компоненты. И то, только ставить консоль управления или нет. ВСЕ!!! Если не слишком нагло, можно линк на TechNet, ткни носом.
Дык просто проинстоль ISA 2004 или 2006 там все логично и понятно. Я просто тупанул, по сколько не до конца въехал как была организована сеть.

ALex_hha авторДык просто проинстоль ISA 2004 или 2006 там все логично и понятно. Я просто тупанул, по сколько не до конца въехал как была организована сеть.
если ее просто интсалишь, то она ставит фаер, в котором по умолчанию все запрещено. Причем сам фаер отрубить нельзя. Можно только добавить правило разрешить все и всем :)
ну дык ты сам ответил на вопрос... яж говорил, первое правило можно все, всем, по всем портам... а потом добавляешь запреты... сверхувниз идет чтение и можно в disable в любое время поставить любое правило, и оставить только allow_all.... а в обще конечно лучше потренироваться на виртуальной машине какой-нить... wmvare поднять на локале и проиметировать коннект к ней

Crazy_Driver Anatoly PodgoretskyА ISA наверно был только в режиме прокси, а не файрвола.
ISA находится за циской точно так же как и остальные компы и в случае снятия галки "хадить через прокси", ходили НАПРЯМУЮ через циску. И, соответственно, комп с ISA НЕ является шлюзом по умолчанию.


Я понимаю, что 25000 постов просто так напостить сложновато
вово... стопроцентов для суперушлых конечно не придумать. но ... IE например имеет св-во сбросить настройки и прокси в том числе..тут даже по шапке не даш юзеру, а вот изменить сетевые параметры, особоушлых будет сразу видно.