Проблема при получении Email
 

Привет всем форумчанам!
У меня следующие проблемы с Исой. В нашей фирме нет Exchange сервера ( директор что-то жадничает покупки сервера ) поэтому у нас мыло сервер находиться наруже. допустим mail.ru .
Так вот, в иса сервере есть 2 политика которое конфликтуют друг с другом. я даже не знаю как правильно это решить. (Иса сервер в домене )
1. правила для получение письм.
Email, разрешено, POP3-SMTP, c internal на external, для все юзеров.
2. правила для Нат доступа.
Internet, разрешено, All outbound, internal на external , для Нат юзеров.

вот при таком политике , не получается получить письмо, Оутлук выдает ошибку.
так только я выключаю вторую политику, Оутлук начинает нормально работать и получает письмы.
что я не так делаю ?

Если не ошибаюсь то ваше второе правило должно находится в меню Сеть\Сетевые правила и оно там по умолчанию и там ещё помимо внутренней прописан VPN-клиенты. Это, так сказать необходимое правило для того чтобы все клиенты натились при выходе во внешний мир. Создавать дубль, я думаю не стоит. А без него-то всё работает? А ещё говорят, что нужно ставить файервол-клиент исовский, чтоб почтовые проги работали.

клиенты установлены.
да работает, а еще работает когда вместе Internal указываю адрес компьютера .
Но именно когда правило стоит так Internet, разрешено, All outbound, internal на external , для Нат юзеров то 1 правила не работает.

Покажите скриншот первого правила.

Вот пожалуйста

ну и ?

Поясните что у вас за Нат юзеры?

В домене создано группа под названием NAT Users . тоесть там входить директоры которым все сайты доступны

YORK,
Включите ведение журнала и попробуйте подключиться через Outlook и посмотрите какое правило блокирует трафик и почему.

В журнале ничего не видно :-(

Скриншот настроек фильтра покажите и скрин настроек получения почты покажите.

Извиняюсь, но я наверно не понял что именно вы хотите. настроек какого фильтра вы хотите увидеть ? скрин настроек для получение письмо в Исе или в оутлуке ?

Ну вы же включали ведение журнала правильно? Так там есть фильтр который указывает какую информацию отображать вот настройки этого фильтра и хотелось бы увидеть.
Скрин настроек Outlook-а.

ааа теперь все ясно
ну про введение журнале я пробовал все. Client Ip, по протоколу по ошибки не помогло ничего.
вот таком режиме я открывал оутлук и смотрел что же мешает мне получать письмо

но без результатно
настройка Оутлука

Покажите вывод ipconfig /all с клиента (затирать ip адреса из приватных сетей нет смысла) и скриншот с закладки ISA->Конфигурация->Сети->Сетевые правила.

Windows IP Configuration

Host Name . . . . . . . . . . . . : username
Primary Dns Suffix . . . . . . . : domain.lan
Node Type . . . . . . . . . . . . : Hybrid
IP Routing Enabled. . . . . . . . : No
WINS Proxy Enabled. . . . . . . . : No
DNS Suffix Search List. . . . . . : domain.lan

Wireless LAN adapter Wireless Network Connection:

Media State . . . . . . . . . . . : Media disconnected
Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Broadcom 802.11g Network Adapter
Physical Address. . . . . . . . . : 0C-60-76-41-B8-53
DHCP Enabled. . . . . . . . . . . : Yes
Autoconfiguration Enabled . . . . : Yes

Ethernet adapter Local Area Connection:

Connection-specific DNS Suffix . : domain.lan
Description . . . . . . . . . . . : Marvell Yukon 88E8072 PCI-E Gigabit Ether
net Controller
Physical Address. . . . . . . . . : 00-26-55-B4-F8-35
DHCP Enabled. . . . . . . . . . . : Yes
Autoconfiguration Enabled . . . . : Yes
Link-local IPv6 Address . . . . . : fe80::f8b6:db38:c3a:8084%10(Preferred)
IPv4 Address. . . . . . . . . . . : 192.168.110.21(Preferred)
Subnet Mask . . . . . . . . . . . : 255.255.254.0
Lease Obtained. . . . . . . . . . : 24 июня 2011 г. 7:43:45
Lease Expires . . . . . . . . . . : 2 июля 2011 г. 12:40:38
Default Gateway . . . . . . . . . : 192.168.110.10
DHCP Server . . . . . . . . . . . : 192.168.110.11
DHCPv6 IAID . . . . . . . . . . . : 234890837
DHCPv6 Client DUID. . . . . . . . : 00-01-00-01-15-47-CA-57-00-26-55-B4-F8-35

DNS Servers . . . . . . . . . . . : 192.168.110.11
NetBIOS over Tcpip. . . . . . . . : Enabled

Это ip адрес ISA сервера правильно?

да

А покажите еще скрин ISA->Конфигурация->Сети->Внутрунняя->Закладка "Адреса".

Вообщем предполагаю что скорее всего у вас проблема с разрешением DNS имен.
Вывод ipconfig /all с этого сервера покажите и скрин правила которое разрешает прохождение DNS запросов с этого сервера на сервера провайдера покажите.

Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Broadcom NetXtreme Gigabit Ethernet
Physical Address. . . . . . . . . : 64-31-50-D2-6E-EC
DHCP Enabled. . . . . . . . . . . : No
Autoconfiguration Enabled . . . . : Yes
IPv4 Address. . . . . . . . . . . : 192.168.110.11(Preferred)
Subnet Mask . . . . . . . . . . . : 255.255.254.0
Default Gateway . . . . . . . . . : 192.168.110.10
DNS Servers . . . . . . . . . . . : 192.168.110.11
NetBIOS over Tcpip. . . . . . . . : Enabled




2 скрине компьютер название домен контроллера

Покажите вывод nslookup www.ru с клиента при включенном первом правиле. И скрин свойств объекта имя которого затерли из ISA покажите.

1 правила тот которое в шапке ? или же 17 правиле ?

Да которое в шапке в ситуации когда не работает получение почты.

nslookup www.ru
Server: dc.domain.lan
Address: 192.168.110.11

Non-authoritative answer:
Name: www.ru
Addresses: 2a00:1c88:d01:15::b
194.87.0.50

при включение 1 политику, именно Оутлук выдает ошибку, а в интернете нет никаких проблем. поэтому 2 политике вместе Internаl указываю адреса компьютера . так все работает нормально , но это не очень то удобно для меня

а что говорит TroubleShooting - Traffic Simulator?

тут надо поставить галочку куда то ?

естественно

non-web access и дальше тоже галочки нужно поставить

Извините за глупой вопрос , а дальше что надо сделать.

source parameters
IP address: ИП компьютера с проблемой
Traffic sent from anonymous user

destination:
адрес вашего почтового сервера и порт подключения

Allowed Traffic
Denied Traffic - destination URL host name could not be resolved
Rule Name: Email
Rule Order: 3

Additional information
From: Internal
To: External
Network Rule Name: Internet Access
Network Relationship: NAT
Protocol: POP3
Rule Application Filter:


Traffic allowed by firewall policy rules may be blocked by Web or Application filters.

-------------------------------------------------------------------------------------------------------------------------------------------------------------

Allowed Traffic
Denied Traffic - destination URL host name could not be resolved
Rule Name: Email
Rule Order: 3

Additional information
From: Internal
To: External
Network Rule Name: Internet Access
Network Relationship: NAT
Protocol: 587 Port
Rule Application Filter:


Traffic allowed by firewall policy rules may be blocked by Web or Application filters.

что вы вписали в destination?

давайте не замалёванные скришоты, гадание на кофейной гуще малорезультативно.

Там указывал и 110 и 587 порт

отлично.
скрин результата + полный из Diagnostic Logging'а (это можно текстом)

3618 24.06.2011 18:45:01 000023d0 Firewall Engine source does not match the packet.
3619 24.06.2011 18:45:01 000023d0 Firewall Engine Forefront TMG is evaluating the rule [System] Allow MS Firewall Control communication to selected computers.
3620 24.06.2011 18:45:01 000023d0 Firewall Engine The source port does not match the rule.
3621 24.06.2011 18:45:01 000023d0 Firewall Engine Forefront TMG is evaluating the rule GFI WebMonitor GUI Access.
3622 24.06.2011 18:45:01 000023d0 Firewall Engine destination does not match the packet.
3623 24.06.2011 18:45:01 000023d0 Firewall Engine Forefront TMG is evaluating the rule GFI WebMonitor Updates Access.
3624 24.06.2011 18:45:01 000023d0 Firewall Engine source does not match the packet.
3625 24.06.2011 18:45:01 000023d0 Firewall Engine Forefront TMG is evaluating the rule Full Access Nat users.
3626 24.06.2011 18:45:01 000023d0 Firewall Engine The rule cannot be evaluated by the Firewall Engine because the rule applies to a specific user.
3627 24.06.2011 18:45:01 000023d0 Firewall Engine The rule Full Access Nat users has parameters that cannot be evaluated by the Firewall Engine. The packet is passed to the Firewall service to complete rule evaluation.
3628 24.06.2011 18:45:01 000023d0 Firewall Engine The action of the rule cannot be determined without evaluation by the Firewall service.
3629 24.06.2011 18:45:01 000023d0 Firewall service The Firewall service is performing rule evaluation.
3630 24.06.2011 18:45:01 000023d0 Firewall service Packet properties: Source IP address: 192.168.110.21 Source array network: Internal Destination IP address: 130.117.190.210 Destination array network: External
3631 24.06.2011 18:45:01 000023d0 Firewall service Forefront TMG is looking for an applicable network rule.
3632 24.06.2011 18:45:01 000023d0 Firewall service Forefront TMG is evaluating the network rule Local Host Access.
3633 24.06.2011 18:45:01 000023d0 Firewall service The source IP address in the packet does not match the source specified in the network rule.
3634 24.06.2011 18:45:01 000023d0 Firewall service Forefront TMG is checking the reverse direction of the network rule Local Host Access.
3635 24.06.2011 18:45:01 000023d0 Firewall service The destination IP address in the packet does not match the source specified in the network rule.
3636 24.06.2011 18:45:01 000023d0 Firewall service Forefront TMG is evaluating the network rule VPN Clients to Internal Network.
3637 24.06.2011 18:45:01 000023d0 Firewall service The source IP address in the packet does not match the source specified in the network rule.
3638 24.06.2011 18:45:01 000023d0 Firewall service Forefront TMG is checking the reverse direction of the network rule VPN Clients to Internal Network.
3639 24.06.2011 18:45:01 000023d0 Firewall service The destination IP address in the packet does not match the source specified in the network rule.
3640 24.06.2011 18:45:01 000023d0 Firewall service Forefront TMG is evaluating the network rule Internet Access.
3641 24.06.2011 18:45:01 000023d0 Firewall service The source and destination in the packet match the source and destination specified in the network rule, which specifies a NAT relationship.
3642 24.06.2011 18:45:01 000023d0 Firewall service The network rule Internet Access matches the source and destination. A NAT relationship is specified.
3643 24.06.2011 18:45:01 000023d0 Firewall service The Firewall service is performing rule evaluation.
3644 24.06.2011 18:45:01 000023d0 Firewall service Packet properties: Source IP address: 192.168.110.21 Source array network: Internal Destination IP address: 130.117.190.210 Destination array network: External
3645 24.06.2011 18:45:01 000023d0 Firewall service Forefront TMG is looking for an applicable network rule.
3646 24.06.2011 18:45:01 000023d0 Firewall service Forefront TMG is evaluating the network rule Local Host Access.
3647 24.06.2011 18:45:01 000023d0 Firewall service The source IP address in the packet does not match the source specified in the network rule.
3648 24.06.2011 18:45:01 000023d0 Firewall service Forefront TMG is checking the reverse direction of the network rule Local Host Access.
3649 24.06.2011 18:45:01 000023d0 Firewall service The destination IP address in the packet does not match the source specified in the network rule.
3650 24.06.2011 18:45:01 000023d0 Firewall service Forefront TMG is evaluating the network rule VPN Clients to Internal Network.
3651 24.06.2011 18:45:01 000023d0 Firewall service The source IP address in the packet does not match the source specified in the network rule.
3652 24.06.2011 18:45:01 000023d0 Firewall service Forefront TMG is checking the reverse direction of the network rule VPN Clients to Internal Network.
3653 24.06.2011 18:45:01 000023d0 Firewall service The destination IP address in the packet does not match the source specified in the network rule.
3654 24.06.2011 18:45:01 000023d0 Firewall service Forefront TMG is evaluating the network rule Internet Access.
3655 24.06.2011 18:45:01 000023d0 Firewall service The source and destination in the packet match the source and destination specified in the network rule, which specifies a NAT relationship.
3656 24.06.2011 18:45:01 000023d0 Firewall service The network rule Internet Access matches the source and destination. A NAT relationship is specified.
3657 24.06.2011 18:45:01 000023d0 Firewall service The Firewall service is performing rule evaluation.
3658 24.06.2011 18:45:01 000023d0 Firewall service Protocol: BranchCache - Advertise
3659 24.06.2011 18:45:01 000023d0 Firewall service Packet properties: Source IP address: 192.168.110.21 Source array network: Internal Destination IP address: 130.117.190.210 Destination array network: External
3660 24.06.2011 18:45:01 000023d0 Firewall service Forefront TMG will check only rules that are associated with the protocol BranchCache - Advertise.
3661 24.06.2011 18:45:01 000023d0 Firewall service Forefront TMG is evaluating the rule [System] Allow MS Firewall Control communication to selected computers.
3662 24.06.2011 18:45:01 000023d0 Firewall service The source port does not match the rule.
3663 24.06.2011 18:45:01 000023d0 Firewall service Forefront TMG is evaluating the rule Full Access Nat users.
3664 24.06.2011 18:45:01 000023d0 Firewall service The rule does not match because the rule requires authentication and no user is specified in the packet.
3665 24.06.2011 18:45:01 000023d0 Firewall service The rule Full Access Nat users requires user authentication for evaluation.
3666 24.06.2011 18:45:01 000023d0 Firewall service The rule Full Access Nat users requires user authentication.
3667 24.06.2011 18:45:01 000023d0 Firewall service The Firewall service is performing rule evaluation.
3668 24.06.2011 18:45:01 000023d0 Firewall service Protocol: HTTPS
3669 24.06.2011 18:45:01 000023d0 Firewall service Packet properties: Source IP address: 192.168.110.21 Source array network: Internal Destination IP address: 130.117.190.210 Destination array network: External
3670 24.06.2011 18:45:01 000023d0 Firewall service Forefront TMG will check only rules that are associated with the protocol HTTPS.
3671 24.06.2011 18:45:01 000023d0 Firewall service Forefront TMG is evaluating the rule [System] Allow HTTP/HTTPS from Forefront TMG to specified Microsoft error reporting sites.
3672 24.06.2011 18:45:01 000023d0 Firewall service source does not match the packet.
3673 24.06.2011 18:45:01 000023d0 Firewall service Forefront TMG is evaluating the rule [System] Allow HTTP/HTTPS requests from Forefront TMG to specified sites.
3674 24.06.2011 18:45:01 000023d0 Firewall service source does not match the packet.
3675 24.06.2011 18:45:01 000023d0 Firewall service Forefront TMG is evaluating the rule [System] Allow HTTP/HTTPS from Forefront TMG to specified Microsoft Update sites.
3676 24.06.2011 18:45:01 000023d0 Firewall service source does not match the packet.
3677 24.06.2011 18:45:01 000023d0 Firewall service Forefront TMG is evaluating the rule [System] Allow MS Firewall Control communication to selected computers.
3678 24.06.2011 18:45:01 000023d0 Firewall service The source port does not match the rule.
3679 24.06.2011 18:45:01 000023d0 Firewall service Forefront TMG is evaluating the rule GFI WebMonitor GUI Access.
3680 24.06.2011 18:45:01 000023d0 Firewall service destination does not match the packet.
3681 24.06.2011 18:45:01 000023d0 Firewall service Forefront TMG is evaluating the rule GFI WebMonitor Updates Access.
3682 24.06.2011 18:45:01 000023d0 Firewall service source does not match the packet.
3683 24.06.2011 18:45:01 000023d0 Firewall service Forefront TMG is evaluating the rule Full Access Nat users.
3684 24.06.2011 18:45:01 000023d0 Firewall service The rule does not match because the rule requires authentication and no user is specified in the packet.
3685 24.06.2011 18:45:01 000023d0 Firewall service The rule Full Access Nat users requires user authentication for evaluation.
3686 24.06.2011 18:45:01 000023d0 Firewall service The rule Full Access Nat users requires user authentication.
3687 24.06.2011 18:45:23 fffdcedc Firewall service The Firewall service is performing rule evaluation.
3688 24.06.2011 18:45:23 fffdcedc Firewall service Protocol: POP3
3689 24.06.2011 18:45:23 fffdcedc Firewall service Packet properties: Source IP address: 192.168.110.21 Source array network: Internal Destination IP address: 212.252.122.217 Destination array network: External
3690 24.06.2011 18:45:23 fffdcedc Firewall service Forefront TMG will check only rules that are associated with the protocol POP3.
3691 24.06.2011 18:45:23 fffdcedc Firewall service Forefront TMG is evaluating the rule [System] Allow MS Firewall Control communication to selected computers.
3692 24.06.2011 18:45:23 fffdcedc Firewall service The source port does not match the rule.
3693 24.06.2011 18:45:23 fffdcedc Firewall service Forefront TMG is evaluating the rule Email.
3694 24.06.2011 18:45:23 fffdcedc Firewall service The rule Email matches the packet. The packet is allowed.
3695 24.06.2011 18:45:23 fffdcedc Firewall service The rule Email allowed the packet.
3696 24.06.2011 18:45:23 fffdcedc Firewall service The Firewall service is performing rule evaluation.
3697 24.06.2011 18:45:23 fffdcedc Firewall service Packet properties: Source IP address: 192.168.110.21 Source array network: Internal Destination IP address: 212.252.122.217 Destination array network: External
3698 24.06.2011 18:45:23 fffdcedc Firewall service Forefront TMG is looking for an applicable network rule.
3699 24.06.2011 18:45:23 fffdcedc Firewall service Forefront TMG is evaluating the network rule Local Host Access.
3700 24.06.2011 18:45:23 fffdcedc Firewall service The source IP address in the packet does not match the source specified in the network rule.
3701 24.06.2011 18:45:23 fffdcedc Firewall service Forefront TMG is checking the reverse direction of the network rule Local Host Access.
3702 24.06.2011 18:45:23 fffdcedc Firewall service The destination IP address in the packet does not match the source specified in the network rule.
3703 24.06.2011 18:45:23 fffdcedc Firewall service Forefront TMG is evaluating the network rule VPN Clients to Internal Network.
3704 24.06.2011 18:45:23 fffdcedc Firewall service The source IP address in the packet does not match the source specified in the network rule.
3705 24.06.2011 18:45:23 fffdcedc Firewall service Forefront TMG is checking the reverse direction of the network rule VPN Clients to Internal Network.
3706 24.06.2011 18:45:23 fffdcedc Firewall service The destination IP address in the packet does not match the source specified in the network rule.
3707 24.06.2011 18:45:23 fffdcedc Firewall service Forefront TMG is evaluating the network rule Internet Access.
3708 24.06.2011 18:45:23 fffdcedc Firewall service The source and destination in the packet match the source and destination specified in the network rule, which specifies a NAT relationship.
3709 24.06.2011 18:45:23 fffdcedc Firewall service The network rule Internet Access matches the source and destination. A NAT relationship is specified.

так, отлично, по правилу №3 вы получаете доступ к почтовому серверу.
проверьте это телнетом.
далее, если телнет будет проходить (адрес для проверки такой же как в настройках аутлука), то вам необходимо зайти в:
networking-networks-confirure Forefront TMG client settings, найти там outlook-disable-1 и изменить на outlook-disable-0.

после чего проверить работоспособность, и елси не работает описать проблему ещё раз с полными скринами.

telnet 212.252.122.217:110
результат
+OK <25494.1308971056@mail5.superonline.com>

изменил на outlook-disable-0 не помогло
ок щас с скринами опишусь

Значит так.
Есть Иса сервер (TMG) в нем есть правила.
так как у нас нету EXCHANGE сервера , мы получаем почту с наружу.
Так вот при таком правиле



Outlook выдает такую ошибку





а когда вместо internal указываю определенного юзера (компьютера) то все начинает нормально работать.

добавьте в правило 3 протокол DNS.

Спасибо Все заработало :-)