Поставил давеча ИСА 2006 СП1.
Ессно, ейный фаер заблокировал весь трафик по всем интерфейсам.
Частично победил. Сейчас по локалке фаер настроил.

Схема:
Есть машина с исой.
Два сетевых интерфейса: 10.10.32.х смотрит в локалку, 192.168.1.х смотрит на ДСЛ, который смотрит на Волгателеком.

Проблема в том, что не удается ДСЛ пропинговать.
Что там настроить на исе надо, чтот я уж всю башку сломал...

вот ipconfig.
LAN - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : HP NC326i PCIe Dual Port Gigabit Server A
dapter #2
Физический адрес. . . . . . . . . : F4-CE-46-E7-B6-E5
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 10.10.32.4
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . :
DNS-серверы . . . . . . . . . . . : 10.10.32.1
213.135.97.131
213.135.96.250

WAN - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : HP NC326i PCIe Dual Port Gigabit Server A
dapter
Физический адрес. . . . . . . . . : F4-CE-46-E7-B6-E4
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 192.168.1.100
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . : 192.168.1.1
DNS-серверы . . . . . . . . . . . : 213.135.97.131
213.135.96.250

ща тебя в абракадабрстве обвинят

создай правило в политиках фаервола, разрешающее, весь траффик или ICMP от всей внутренней сети или избранных машин, в внешнюю сеть. надеюсь оба интерфейса физически присутсвовали в серваке при установке исы ?

ставь лучше gentoo + iptables+ squid.
ISA - закрытая коробка

Войди за закладку Monitoring - Logging, создай фильтр Destination IP = IP dsl, запусти логирование, поставь пинг и смотри, какое правило запрещает трафик в эту сторону. Скорее всего, это Default Rule. Создай правило, открывающее любой трафик наружу и проверь, появился ли пинг. Затем отключи это правило и настрой то, что нужно.

Афтара в бан! он матой ругаеца!

Так, с фаером вроде разобрался. Тырнет через ИСУ есть, все нормально.

Теперь надо разобраться с пользователями.
1. Есть пользаки свои, с АД.
2. Есть пользаки чужие (аудиторы, гости и проч.)

По 1. понятно, авторизацию из АД возьму.
А вот по п.2 никак не соображу. Чужих пускать в домен не хочу. Даже временно.

Схема должна быть такая:
а. Чужак втыкается в витую пару. Адрес шлюза получает с DHCP.
б. Я чего-нибудь прописываю на сервере (типа авторизацию IP+MAC).
в. Если что- мне не трудно сделать резервирование на DHCP.

б. и в. напрягать не будет, ибо, гости у нас одни и те же и приезжают регулярно. Залетные и одноразовые гости тырнетом не полуются и вообще нефиг.

Какие могут быть варианты?

Можно не делать авторизацию через АД, открой доступ всем пользователям.
Для авторизации через АД придется всем ставить Firewall Client.
Если нужно кого-то ограничить - пользуйся его IP.
IP + MAC резервируй на DHCP.
Для непрошенных гостей можно раздавать адреса из запрещенного в ISA диапазона, а машины своей сети и доверенные привязать по IP в DHCP.

Хм... с фаерклиентом тоже не хочется заморачиваться...

Хотелось бы всем по дефаулту запретить, а разрешить по IP.
Я так понимаю, в этом случае достаточно создать набор компьютеров, накидать туда адресов машин, и использовать этот набор в разрашающем правиле для тырнета, в "откуда", вместо "внутренняя сеть" используем этот набор компьютеров, так?

да

Хрен там. Если из сорса внутреннюю сеть убрать, и поставить вместо нее набор компьютеров, разрешающее правило не срабатывает. Фаер блокирует дефолтным правилом

Только что проверил - все работает. Создал разрешающее правило только для себя, для всех остальных отключил. Доступ работает только с моего компа.

А накуа на внутреннем интерфейсе днс провайдеровские забиты

У меня два порта таких в старом компе пустуют, не знаю чем занять их

Да по инерции, как на других серверах, поставил

А у тебя и на серверах провайдерские днсы прописаны? Надеюсь у клиентов такой глупости нет.

ЗЫ В твоей сети должны быть прописаны только днс сервера обслуживающие ТВОЙ домен и никакие другие, для запросов не относящихся к твоей сети должна быть настроена пересылка на днсы прова и никак иначе.

У меня пользаки пока через стандартный виндовый нат в инет ходят.
Вот ису настрою и тогда днс-форвардинг сделаю...

Да собственно, уже сделал.
У серверов прописал только локальные ДНС, шлюзом указал адрес сервера с исой, правилом на исе запретил весь трафик, за исключением HTTP на определенные домены (антивирус чтоб обновлялся).
Сейчас с серверов доступ в тырнет только на адреса макафи по HTTP.

Ису причешу- уберу днсы провайдера с раздачи клиентам.

Так.

1. На компьютерах и серверах в качестве шлюза прописан адрес сервера с исой.
2. На сервере с исой на внутреннем интерфейсе шлюз не указываем.
3. На компьютерах и серверах в качестве ДНС прописан адрес ДНС в локальной сети.
4. На ДНС в локальной сети корневые ссылки есть. На вкладке "пересылка" домен ДНС: "Все другие ДНС-домены".
5. На исе создано правило, разрешающее ДНС-запросы наружу от внутренних ДНС серверов.

Так вроде правильно?

То есть, от клиентов все ДНС-запросы идут на внутренний ДНС. Он их разрешает, или форвардит через ису, прописанную в качестве шлюза, наружу.
После разрешения имени на внешних ДНС, клиент идет через шлюз-ису в тырнет.

Я все правильно понял?

Да