Добрый день.
Подскажите плз как быть.
Ситуация следующая.Есть isa2006 standart,win2003.У нас на isa есть такое правило:
Разрешить -All outbound traffic - ip пк которые должны подходить под это правило- внешняя.
Наскок я понемаю если я добавлю Ip - то у этого Ip будут открыты все протоколы и т.д.
Вот у нас недавно появилась такая програмулина называется СЭД. Такое ПО стоит на компе с ip 1.2.3.4
Добавил такой ip в данное правило и все гут. Но эт правило так называемый adminfull поэтому рукодство дало задание убрать все Ip из данного правила.
Позвонил в техподдержку этого СЭД сказали что она работает по udp 4433 и 7500.
Создал на isa протокол назвал их сэд1 и сэд2. Отличие ток в портах. Указал в каждом протоколе порты primary outbound tcp 7499-7501 и send udp 7499-7501а так же secondiry inbound tcp 7499-7501 и receive udp 7499-7501.
После чего создал правило на isa:
разрешить-протоколы выбрал сэд1 и сэд2-от кого внутренняя и локальная - кому внешняя - распространил правило на all users пришел к пользователю запустил этот СЭД и ни фига не работает. не удается соединиться..
Подскажите мож я чего не прально сделал иль просто мне не все порты сказали =)
Благодарю за какие нибудь советы!
flatic:Вот у нас недавно появилась такая програмулина называется СЭД.Такое ПО стоит на компе с ip 1.2.3.4Добавил такой ip в данное правило и все гут. Но эт правило так называемый adminfull поэтому рукодство дало задание убрать все Ip из данного правила.
flatic: Позвонил в техподдержку этого СЭД сказали что она работает по udp 4433 и 7500. Создал на isa протокол назвал их сэд1 и сэд2. Отличие ток в портах. Указал в каждом протоколе порты primary outbound tcp 7499-7501 и send udp 7499-7501а так же secondiry inbound tcp 7499-7501 и receive udp 7499-7501. Подскажите мож я чего не прально сделал иль просто мне не все порты сказали =)
А на кой ты столько портов открыл ? Да еще и с вторичными подключениями... Тебе же всего два порта указали.И еще, в отличии от TCP, у протоколов UDP существует 4 варианта направления, а не два. Может не "receive", а например "receive send" или "send receive" вместо "send".Смотри доки по своей софтине, или в техподдержку задавай более детальные вопросы. FWC на клиентский комп не забудь поставить.
А еще про VPN не забудь у технарей спросить, ибо возможно софтина его использует.
Да и вообще, ... СЭД... чота знакомое... может быть у меня на прошлой работе и была такая хрень. А если она была, значит она работала.Еще была какая-то прога, которой сначала надо было ВПН-ом зацепиться, а потом уже всё остальное. Может это она и была (не уверен правда). Я почему и напомнил про ВПН.
Прописывая маршруты ручками, не стоит забывать про параметр -р :) The way to develop self-confidence is to do the thing you fear ! Не убегай от снайпера - умрешь уставшим !
Все ГУТ =) подрузомеваеться что если ip компа на котором утсановлен СЭД добавить в правило так называемое adminfull то все работает без проблем!
По поводу впн сомневаюсь что необходимо, но все равно поинтересуюсь.
По поводу зачем сток портов открыл - мне кажеться мало не много =) прост нужно уже все сделать а я буксую на ровном месте.
В техподдержку туда проблемно оч дозвониться, но вариантов походу больше нет.Единственное что еще папробую это про recieve send и т.д
Спасиб за советы!
flatic: Все ГУТ =) подрузомеваеться что если ip компа на котором утсановлен СЭД добавить в правило так называемое adminfull то все работает без проблем!
Ну, если СЭД при этом работает, и на том компе нет ВПН, то про ВПН можно и не спрашивать :)Значит надо смотреть исовые логи.
скорее всего надо банально открыть udp send receive 4433 и 7500 и смотреть логи
И так . . .. моя эпопея продалжаеться! =)
По совету я создал протоколы с правилами
7499-7501 primary send receive и secondary 7499-7501 recieve send - результат прежний
Позвонил в тех поддержку мне коротко объяснили что открывай порты udp 7500 и 4433 ( при чем send recieve или прост send не смогли ответить) и tcp 110 и 25.
После этого создал еще пару правил
109-111 tcp primary outbound и secondary 109-11 inbound
24-26 tcp primary outbound и secondary 24-26 inbound
результат прежний =( брандмауэр на пк вырублен.
Может на исе публиковать чего надо ?Так-то сложно сказать, какие настройки софтина от исы требует.
Позвонил в техсаппорт - мне сказали что udp 4433 и 7500 b tcp 25 и 110 на вход и на выход над открывать!
Сказал что все сделано - мне прост сказали что с isa проблемно но люди как-то делают =)
Правило стоит первое в списке на isa. Буд кумекать.
Софтина кроме открытых портов ничего не требует. Там нет никак индивидуальных у нее настроек на прокси.
25 и 110 это POP3 и SMTPА в исовых логах что пишут при попытке коннекта ?
Initiated Connection ISA 14.04.2011 16:13:56 Log type: Firewall service Status: Rule: SED Source: Внутренняя (192.168.xxx.xxx:7500) Destination: Внешняя (213.171.yyy.yyy:4433) Protocol: protokol_sed_2 User: Closed Connection ISA 14.04.2011 16:14:34 Log type: Firewall service Status: Rule: Source: Внутренняя (192.168.xxx.xxx:2806) Destination: Локальный компьютер (192.168.xxx.xxx:8080) Protocol: HTTP Proxy User: Closed Connection ISA 14.04.2011 16:14:30 Log type: Firewall service Status: Rule: SED Source: Внутренняя (192.168.xxx.xxx:2812) Destination: Внешняя (200.173.yyy.yyy:110) Protocol: protokol_sed_4 User: Initiated Connection ISA 14.04.2011 16:14:34 Log type: Firewall service Status: Rule: Source: Внутренняя (192.168.xxx.xxx:2814) Destination: Локальный компьютер (192.168.xxx.xxx:8080) Protocol: HTTP Proxy
sed_2 - 4433
sed_4 -110 порты
а зачем так по идиотски определять протоколы? если надо 7500 то и пиши 7500, 25 и 110 уже определны как положено. и зачем секондари? прога реально открывает секондари соединение?
а что за СЭД такой? это реальное название проги или есть что то более конкретное? потому как СЭД это общее название Систем Электронного Документооборота
По поводу secondary открыл на всяк случай ибо никто из тех саппорта проги этой ничего толкового мне сказать не может.
Называеться она именно так СЭД и номер версии.
Установил на клиентскую машину FWC результат прежний!