Запрет на использование публичных почтовых серверов через tmg 2010
 

Всем доброго времени суток! Есть задача запретить пользоваться определенными публичными почтовыми серверами. Как это сделать в TMG не прописывая запрет на IP адреса. А по доменным именам почтовых серверов? TMG не понимает правила по доменным именам почтовых серверов. DNS работает нормально. Спасибо.

Вы ошибаетесь, TMG вполне может заблокировать любой IP или DNS имя, а так же отдельный URL адрес. Делается это абсолютно одинаково, для блокирования DNS имён применяется группа "Наборы доменных имён" ;)

Ну если я ошибаюсь тогда какие вероятные причины могут быть того, что правила с набором доменных имен для почтовых серверов не работаю в данном случае тестировался smtp.gmail.com и mail.premier-ag.ru. Данные сервисы пробовал и блокировать и разрешать через наборы доменных имен. правила не работаю - срабатывает нижнее правило по запрету вообще любого трафика. А если поставить вместо набора доменных имен ip адрес - то правила начинают работать! При этом отмечу - dns сервис работает абсолютно нормально. Все эти имена разрешаются как с самого tmg, так и с другим машин. А так же стоит отметить, что если правила касаются http протокола - то тогда работает все и по имени! Впрочем - даже если это dns сервис(переадресация всех запросов dns на dns провайдера - то tmg тоже отрабатывает эти имена и протокол dns и не надо прописывать кокретно ip адреса dns серверов провайдера, чтобы правила работали). А вот с почтовыми публичными серверами это не проходит. Хотя вроде бы и dns,smtp,http - все протоколы одного уровня модели osi.

Причина может быть как в настройки правил, так и в процессе преобразования доменных имён в IP и обратно.

Без мониторинга и логов понять ничего не возможно. А если вы предоставите схему подключения своего фаера, да ещё с "распиновкой" по интерфейсам, ну тогда вообще Вам цены не будет :teeth: и глядишь кто-то Вам и сможет ответить на Ваш вопрос. ;)

Ну все-таки выкладывание любой инфы про поводу фаера - не самое безопасное решение... хотя можно, конечно заморочиться, но все-таки представим себе ситуацию, что службы все нормально работают. Есть правило, которое разрешает определенному хосту smtp трафик на почтовый сервер - по имени(что правило настроенно корректно можно понять, т.к. если убрать набор доменных имен: mail.premier-ag.ru И поставить вместо него ip - не меняя других настроек правила, все работает. Думаю если принять эту информацию на веру, то поразмыслить можно... Конечно, можно предположить, что я неправильно ввожу доменное имя - но это уже изряда вон выходящее - все перепроверено.... А в мониторинге пишется, что запрещенное соединение ip адреса mail.premier-ag.ru:25 порт.... И правило блокирующее его указано - если смотреть список правил - то да данное правило его блокирует, но т.к. разрешающее правило стоит выше - то не должно... а вот про процесс преоброзования имен можно по подробней? что конкретно имеется ввиду какие проблемы могут быть? имя либо разрешается либо нет... а то ответ какой-то общий... хоть я конечно логов и не выкладывал никаких - но, думаю, конкретика какая-то должна быть... или что получается проблема настолько индивидуальная, что нужен супер-детальный разбор...

Смотря какой инфы ;)
Скриншот порядка правил? Их содержимого? Или внутренний диапазон IP? Это всё абсолютно безвредно.
Я же у Вас не прошу Вас внешний IP адрес и логин и пароль для коннекта... :teeth:

Если всё работает нормально, тогда и проблем нет. Вы же сами обратились на форум, а не в службу тех. поддержки производителя, так что если хотите чтобы Вам помогли в Вашем вопросе извольте делиться той информацией которая однозначно поможет в решении проблемы. А так гадать на кофейной гуще я не буду, больно это неблагодарное дело...

У Вас должны происходить на DNS и прямые и обратные преобразования, т.е. IP-имя, имя-IP.

Нет, конкретики нет, т.к. нету даже схемы сети.

Любая проблема индивидуальна, коли Вы работаете сисадмином, то Вам бы это уже пара понять. ;)

Уговорили. Выкладываю скрины правил и результат мониторинга.

Outstanding,
Покажите скрины свойств объектов из TMG: filesrv, VEEAMSRV и mail.

Выкладываю. Только в тех скринах наверху объект mail - Это не доменные имена - а диапозон ip адресов. Т.к по набору доменных имен не работает. Если, нужно, конечно правило, конечно могу изменить и подставить туда набор доменных имен - свойствах которого выкладываю. Но мониторинг естевственно проводился не с диапозоном, а с набором доменных имен. Просто, т.к. не работает с набором, а нужно сейчас рабочее правило - поэтому в скрине стоит диапозон.

правила просто волшебны, почти все, особо волшебны 8,9,12,13.
специальный протол imap-gmail и smtp-gmail это тоже сильно.
по-поводу почты на mail.premier-ag.ru:
картинка tmg3 всё рассказывает, подробно до упора, просто читайте что там написано, ведь там даже по-русски (TMG на русском это ужас.)

Я правильно понимаю что набор доменных имен у Вас это объект mail.premier??

Спасибо. Я все понял. Почему раньше в мониторинге на это внимание не обращал не понимаю сам... А можно по-подробней про "волшебность"... а то как-то обидно.....

чем больше правил, тем медленней работает ISA/TMG.
правила 8-9 - это одно правило, не нужно делать 2.
правила 12-13 не нужны, особо 13 - оно вообще бессмыслено.
12 не нужно, потому что всё что явно не разрешено - запрещено.
создание своих протоколов, вместо изучения уже существующих, готовых, а именно smtpS - тоже глупость.
в общем что бы не было обидно вам нужно прочитать книжку по администрированию ISA/TMG.
тогда у вас станет раза в три меньше правил и они станут более осмыслеными.

cameron, А в чем волшебность не подскажите? Это конечно не относится к данной теме, но все-таки хотелось бы понимания, если есть возможность... Спасибо.

выше всё написано

cameron, Еще раз спасибо. От лишних правил избавился. Особенно 13 - действительно, прикинув, оно бессымысленно. Только так и не понял почему запрет выхода в инет для серверов не нужно... по умолчанию может все и запрещено - пользователи то ходят в интернет - значит и сервера смогут - либо тогда нужно ставить авторизацию в ldap - И более грамотно правила использовать....

Цитата:

Цитата cameron (TMG на русском это ужас.) »

Полностью согласен :)))

Outstanding, Суть выставления правил проста :
1. Если надо группе(некой абстрактной) Инет дать выход в интернет, то это 1(одно) правило. И в него толкаем все нужные протоколы.
2. Если есть публикация сервисов(SMTP, POP, FTP) и т.д. - их ставим самыми первыми в списке, т.к. ISA проверяет правила "сверху-вниз".
3. Если необходимо запретить выход на определенные ресурсы - правило запрета ставится ВЫШЕ правила разрешения.

Вот 3 простых правила. Если им следовать, то правил будет(в небольшой сети) не более десятка. И все будет работать.

Потому, что сервера должны обновляться, перенаправлять запросы DNS, да и многое другое.

Кстати, правила 8 и 9 - отключены на скрине :) Значит, они не работают.

Delirium, спасибо! Это я все знаю. меня просто интересовал вопрос по поводу 13-го правила.По поводу 8,9 отключенных правил - тут просто проводилось тестирование на возможность торрента. Через группу политик вэб-доступа не получается корректно разрешить торрент. А для серверов должно быть все запрещено за некоторыми исключениями - если это например wsus или теже dns - в моем случае там просто разрешен выход на обновление windows, а с днс - только лишь перенаправление на днс провайдера.... поэтому я и спрашивал про 13-е правило...