ISA
 

посмотрите...я тут првил нарисовал....но как только я включаю 4-ое правило...всё сразу отключается.тоесть доступ в инет отваливается.

Блок сайты огласите

Butunin Klim,
одноклассники, вконтакте. r.mail.ru

Я думаю стоит поставить не весь трафик а протокол http
А в блок сайтах всетаки посмотреть не стоит ли сайт *.* :)

Butunin Klim,
Да , поставил http и действительно помогло.спасибо.
оцените творене сиё....если есть что-то что не так то скажите.

6 правило не совсем корректно.
У вас трафик будет идти только в локальную сеть на ISA сервер не че попадет так как там не указанно Локальный компьютер.
Много ошибок и именно из за того что многие не понимают что локальный компьютер это ISА Сервер и она не входит в локальную сеть :)
Так что учтите это при составлении правил

Butunin Klim,
Это я учёл....а зачем траффик....при том наборе правил что там присутствует, local host лишний в данном правиле.....
Кстати....может быть подскажите где взять список сайто для блока.....я гуглил....но ничего толком не нашёл.

ISATools.org
ISAscripts.org
Сюда гуд http://www.isaserver.org/pages/isalist.asp

В 6 правиле также дублируется разрешение SMTP протокола наружу. Зачем, все равно 1-ым правилом стоит публикация Exchange.

Delirium,
Это для пользователей почтовых ящиков на бесплатных северах. Их почтовые ящики настроены аутлук.

Delirium Не совсем так, в первом правиле разрешается ВХОДЯЩИЙ трафик SMTP, с проброской его на почтовик, 6 правило - разрешает ИСХОДЯЩИЙ SMTP от локальных пользователей, и это очччень плохо.

Malyshhh,
Почему плохо-то?
Если у честь что вы граммотный адлминистратор и знаете что на машинах должен быть антивирус + проверянные заплатки, то мне не понятен смысл этих слов

Butunin Klim К сожалению из опыта. Доменная структура, WSUS, эшелонный антивирус. Пользователь был в командировке, вернулся - на компе спамбот. Через 6 часов нас заблокировал провайдер и попали в десяток блеклистов.
Пользователь - на компе админ.
Пользователь - владелец копании.

Malyshhh, так это проблема не открытого порта на файрволе, а антивируса и защиты Вашей сети. Попасть в блеклист - ничего трагичного, отписываетесь им, и из списков убирают, сам не раз так делал.

Delirium Раз Вам приходилось делать это не раз, значит у Вас тоже проблема с антивирусом и защитой сети.
За 5 лет в спам листах я был только однажды, самый первый раз, хотя спам боты в сети появлялись и после того.
Как настраивать систему решать Вам, я высказываю только свое мнение.
Предлагаю закрыть дискусию относительно SMTP. Я высказал свое мнените относительно просьбы aptv

Спасибо всем)))

Кто знает где траблы.
ISA2004. Правило работает только когда назначение куда (То) стоит External
Как только вместо External ставлю Computer Sets или URL Sets правило перестает работать.
Пересмотрел уже кучу форумов. Этот вопрос есть и не один раз. А ответов на него нет.
Неужели никто с этим не сталкивался. Или никому не нужно ограничить доступ в инет только на определенные сайты
:help:

Просмотрите порядок правил. Возможно, данное правило стоит выше/ниже разрешающего. Приведите скрин правил, сразу видно будет. И опишите, как создаете нужное правило.

Спросите про данное правило у пользователя Molchune в этой теме, у него точно есть правило на одноклассники.

Delirium,

Спасибо за ссылку. Но не помогло
Правило стоит первым. Блокируется по дефолту последним.
Смысл вот в чем:
Для бухгалтерии нужно несколько сайтов, точнее доступ к этим сайтам специализированному софту бухгалтерии. Но бывают лазят где угодно.
Поставили задачу ограничить их только этими сайтами.

Когда руль имеет такие настройки все работает.
Rule: Buhgalter
Action: Allow
Protocols: FTP, HTTP, HTTPS, (на некоторых форумах были советы создать еще протоколы HTTPS inbound и SSL port 8443) SSL, HTTPS in
From: машины бухгалтерии которым это нужно
To: External
Users: группа бухгалтерии
По времени и по контенту без ограничений

Повторюсь - все работает. Только без ограничений по сайтам.

Создал Domain Name Sets
*.domain.ru
И URL Sets
//http:www.domain.ru/*
(по аналогии как было по дефолту при инсталляции ИСЫ для сайтов майкрософта)

Когда ставлю в описанное правило вместо External
To: Domain Name Sets
Или
To:URL Sets
правило перестает работать. Все блокируется по Дефолт руль.
Блокируется по HTTPS при проверке пароля доступа на сайт

Смотрите скрин. Там у меня 2 правила:
№ 30 - разрешить интернет для группы пользователей интернета. На любой сайт.
№ 31 - разрешить выход только на указанные сайты другой группе пользователей интернета.

Что-то я вот этого момента не допонял... А зачем разрешать траффик на сам ISA-сервер? Это рекомендуется делать только в исключительных случаях.
aptv, DNS наружу - нехорошо. Пользователи должны использовать внутренние серверы, которые настроены на интерфейсах. А те, в свою очередь, должны переадресовывать неразрешенные запросы на сервера вышестоящего провайдера. Разрешите DNS Query для внутренних DNS на сервера провайдера, и все. По логике и сам ISA-сервер должен использовать внутренний DNS. Так будет наиболее правильно.
Второй вопрос: все пользователи интрасети используют PPTP и SSH? Зачем открывать протокол, например удаленного управления для всей сети? Это нужно сделать только для группы администраторов. ISA - инструмент очень гибкий, умеет почти все. Не стесняйтесь создавать нужные Вам наборы прав. И чем более специализированные они будут, тем гибче будет управление.

Oleg Krylov, ты посмотри на мой последний ответ....он был уже давно....у меня уж всё давно по другому...)))))

Да я уже потом понял, что прогнал :) Ну да ладно, оставим потомкам :)

Наследство : )

Delirium,
Так в том то и проблема.
Правило как №30 работает.
А правило как №31 блокируется по дефолт руль

Delirium,
Может это заморочки ISA2004 . У ISA2006 может все нормально работает?

У меня тоже 2004 Std SP2

Delirium,
Тоже самое. 2004 Std SP2
В прикрепленом файле скришоты

У тебя это правило работает?

Вопрос решен.
Особое спасибо Delirium,
Нужно было создавать не Domain Name Sets и URL Sets, а Computer Sets.
Все заработало

Если проблема решена, отметьте ее решенной.