|
|
|
ISA 2000
|
|||
|---|---|---|---|
|
#18+
ISA 2000 не пропускает траффик от Nat-клиентов с WinXP (c Win2000 - пропускает) при наличии разрешающего правила. Т.е. есть правило, разрешающее выход по 80 порту для адресов с 10.10.100.1 по 10.10.100.100. С клиентов Win2000 - нет проблем, с XP - никак... Что можно предпринять? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 11.12.2006, 13:19 |
|
||
|
ISA 2000
|
|||
|---|---|---|---|
|
#18+
Михаил ФвISA 2000 не пропускает траффик от Nat-клиентов с WinXP (c Win2000 - пропускает) при наличии разрешающего правила. Т.е. есть правило, разрешающее выход по 80 порту для адресов с 10.10.100.1 по 10.10.100.100. С клиентов Win2000 - нет проблем, с XP - никак... Что можно предпринять? 1) Убедиться, XP действительно NAT-клиент. ISA2000 не различает NAT-клиентов - ей по-барабану. 2) Взглянуть в журнал - есть ли там зафиксированные попытки XP прорваться и какое резюме выносит ISA (rule1 и rule2). ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 11.12.2006, 13:32 |
|
||
|
ISA 2000
|
|||
|---|---|---|---|
|
#18+
Странности в следующем: 1) в логе FW при попытке входа появляется строка с кодом 20000 (т.е. нормальное соединение) и именем правила, соответстующем разрешающему правилу, т.е. в логе отличить удачное и неудачное соединение просто невозможно (если не смотреть на кол-во полученных байт). 2) если сбросить галку "Require all users to authenticate" в свойствах "Outgoing Web-access", всё работает, но тогда появляется вопрос, какое отношение она (галка) имеет к NAT-клиентам, т.к. NAT-клиенты аутентификацию не поддерживают вообще! ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 11.12.2006, 14:05 |
|
||
|
ISA 2000
|
|||
|---|---|---|---|
|
#18+
Михаил ФвСтранности в следующем: 1) в логе FW при попытке входа появляется строка с кодом 20000 (т.е. нормальное соединение) и именем правила, соответстующем разрешающему правилу, т.е. в логе отличить удачное и неудачное соединение просто невозможно (если не смотреть на кол-во полученных байт). 2) если сбросить галку "Require all users to authenticate" в свойствах "Outgoing Web-access", всё работает, но тогда появляется вопрос, какое отношение она (галка) имеет к NAT-клиентам, т.к. NAT-клиенты аутентификацию не поддерживают вообще! Ну и чего ты хочешь? "Require all users to authenticate" ... а Win2000-клиенты авторизуются? ------------------------------------ вообще то птица "Require all users to authenticate" действует на ВСЕХ - авторизуйся или облом. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 11.12.2006, 14:32 |
|
||
|
ISA 2000
|
|||
|---|---|---|---|
|
#18+
Либо снимай птицу "Require all users to authenticate", либо отключай "HTTP redirector filter"... ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 11.12.2006, 14:36 |
|
||
|
ISA 2000
|
|||
|---|---|---|---|
|
#18+
в таком случае, подразумевается, что для работы NAT-клиентов эта ("Require all users to authenticate" ) галка стоять НЕ ДОЛЖНА - без вариантов? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 11.12.2006, 14:44 |
|
||
|
ISA 2000
|
|||
|---|---|---|---|
|
#18+
Либо снимай птицу "Require all users to authenticate", либо отключай "HTTP redirector filter"... ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 11.12.2006, 14:52 |
|
||
|
ISA 2000
|
|||
|---|---|---|---|
|
#18+
если я правильно понял, что ответ на мой вопрос "в таком случае, подразумевается, что для работы NAT-клиентов эта ("Require all users to authenticate" ) галка стоять НЕ ДОЛЖНА - без вариантов?" - ДА, то это не так. У меня уже есть одна ISA, у которой при установленной галке работают любые, в том числе и NAT-клиенты. Именно поэтому я и задаю вопрос, что не вижу закономерности - настройки одинаковые, а результаты разные... ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 11.12.2006, 14:57 |
|
||
|
ISA 2000
|
|||
|---|---|---|---|
|
#18+
...более того, аргументирую: если вызвать справку для "Require all users to authenticate" (в окне Outgoing Web Access), то там совершенно ясно написано: "A Web publishing rule or access policy can apply to client address sets or to users. If a rule applies to users then ... " - см. картинку. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 11.12.2006, 15:06 |
|
||
|
ISA 2000
|
|||
|---|---|---|---|
|
#18+
...спасибо за мысль с фильтром, aleks2! Просто его нужно было не отлючать, а перенастроить на прямой запрос Web-серверов, хотя это не стыкуется с теорией! ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 11.12.2006, 17:17 |
|
||
|
ISA 2000
|
|||
|---|---|---|---|
|
#18+
Михаил Фв...спасибо за мысль с фильтром, aleks2! Просто его нужно было не отлючать, а перенастроить на прямой запрос Web-серверов, хотя это не стыкуется с теорией! И чего тут не стыкуется? Птица действует на WebProxy, заставляя его выполнять запросы только от авторизованных. Фильтр перенаправляет все запросы по порту 80 (и NAT тоже) на WebProxy. Усе логично... ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 11.12.2006, 19:25 |
|
||
|
|
start [/forum/topic.php?fid=26&msg=34191074&tid=1508722]: |
0ms |
get settings: |
9ms |
get forum list: |
18ms |
check forum access: |
3ms |
check topic access: |
3ms |
track hit: |
179ms |
get topic data: |
10ms |
get forum data: |
2ms |
get page messages: |
57ms |
get tp. blocked users: |
1ms |
| others: | 243ms |
| total: | 525ms |
| 0 / 0 |
