|
TMG выпускает в инет без клиента и настроек
Win Server 2008R2
TMG 2010 Тут недавно обнаружилось, что после переустановки ОС на клиентском ПК и ввода в домен...комп сразу получает выход в Инет, TMG Client не установлен, в IE стоит флаг "Автоматическое определение параметров". В домене настроен AD маркер. Лишних маршрутов на компе нет. Когда без клиента юзер выходит в инет его пропускает правило разрешающее выход в инет (причем инет без ограничений: соц сети, файлобменники, блок сайты), а запрещающие правила, которые стоят выше почему то тоже не отрабатывают. Подскажите куда посмотреть? |
Цитата:
|
видимо правило All users, вот и всё.
|
Последнее правило "По умолчанию"
У меня без клиента и настроек отрабатывает 33 правило |
Цитата:
|
У меня самый большой вопрос как юзер в инет вообще выходит без настроек IE и клиента TMG?
|
|
А какое правило по Вашему должно блокировать трафик?
У меня выше правила, которые блокируют соц сети и ютуб, но они спокойно заходят в одноклассники и т.д. |
Цитата:
покажите скрин Logging, что бы увидеть всё глазами. не може ли быть что у вас есть учётка локальная и домаееная, с одним паролем? тогда всё складывается. я вообще в шоке от ваших правил.. такие полотнища я давно не видела. |
Цитата cameron:
по тому же 33 » Почему тогда у меня юзеры заходят на ютуб, хотя правило 21 должно его блокировать. Список сайтов в правиле приложил в скрине |
nikitos435,
Цитата:
|
логи
|
Все еще жду помощи от специалистов по TMG
|
nikitos435,
Сделайте скрин логов на котором есть поле Client Username. |
залогинился под юзером у которого доступ к инету, без доступа к ютубу, но на ютуб он все равно заходит
ссылка на скрин http://files.mail.ru/3087BE13C98147C...7ABEA79CEE?t=1 |
Цитата:
|
|
Подниму тему. Проблему так и не решил, но теперь она многих начала одолевать.
Такое чувство, что траффик идет через TMG сервер, но не проходит через сетевой экран |
пока вы не предоставляете скрины с нужными полями и комментариями - ответа вряд ли дождётесь.
мельком проглядела тему - чем меньше правил, тем ISA\TMG работает лучше и быстрее - это вам просто хинт на будущее. а синдром вахтёра-надсмотрщика нужно подавлять в себе ;) |
cameron, напишите какие скрины Вам необходимы, сделаю все одним разом
Фраза Цитата cameron: а синдром вахтёра-надсмотрщика нужно подавлять в себе » не совсем понятна, особенно не зная какая политика у нас в компании/службе |
Цитата:
-скрин логгина с видимыми полями user name и result code при попытке подключения без FWC. скрин раскрытых вкладок правила по которому пройдёт траффик. -скрин логгина с видимыми полями user name и result code при попытке подключения с FWC. скрин раскрытых вкладок правила по которому пройдёт траффик. Цитата:
Это стоит для компании дешевле, чем мышинная возня с урлсетами и фильтрами, с учётом того, что поднять дома SSL-VPN или SSH tunnel на TCP:443 может любой школьник по мануалам в интернете. а вы ничего с этим сделать не сможете, если не будуте инспектировать SSL траффик через подмену сертов, да и в таком случае (AFAIK!) есть варианты обхода. |
Скрины
У пользователя test доступ в инет стандартный, т.е. без доступа к соц сетям, ютубом и файлобменникам Без клиента-TMG инет не работает, обычная ошибка, типо убедитесь что адрес верный и т.д. |
Обманул, разрешает правило Allow Internet Access - основное правило для выхода в инет
Скрин шоты добавил http://rghost.ru/57831001 |
Ну так нужно в разрешающих правилах TMG указывать не "всех пользователей", а "только авторизованных", или как там.
Я уже года 2 TMG не видел. |
Если в IE все галочки снять, то разрешает правило 36, а оно пускает в инет по наличию группы Internet Users (группа которая дает стандартный инет, без соц.сетей, ютуба, файлобменников, сайтов подбора персонала и т.д.)
|
Видимо проблема у меня не тривиальная!
|
Есть у кого нибудь опыт настройки TMG сервера на аутентификацию Kerberos?
|
| Время: 11:13. |
Время: 11:13.
© OSzone.net 2001-