Имеется сервер на W2k3 и MS ISA Server 2004. 2 сетевухи, внутренняя и на инет. Все адреса - фиксированные. На сервере и на клиентах стоит разрешение на весь траффик. Клиенты ISA установлены. Инет и аська работают отлично, почта вроде уходит, но прием не проходит (не может соединиться с сервером). На серваке все работало (и прием и отправка), но через некоторое время тоже почта отрубилась, настройки не менял. Вот мои firewall polices http://images.people.overclockers.ru/24302.jpg Может кто знает, что можно сделать?

Если у тебя NAT, то ты ИМХО перемудрил и некоторые настройки вообще не правильно настроил.

почтовый клиент Outlook?
пробей outlook disable 0 в настройках клиента на серваке (Define Firewall Client Settings)

Дык был NAT. Теперь все через ISA. Почему на один сервер почта уходит (smtp.mail.ru), а на другой нет(kirzavod.ru)? И почему ни откуда не приходит(по POP3)? Тем более, что сначала все работало нормально!

Добавлено спустя 13 минут, 15 секунд:
Клиенты Outlook и TheBat. Пробил outlook disable 0. Не помогло...

BobuS

ISA 2004 умеет NAT.

Я в курсе, только он уже не NAT, а SecureNAT. Но проблема то не в этом. Все должно работать и через Firewall Client. Дело в том, что та же фигня и на серваке, где ISA стоит.

BobuS

Я же тебе еще раз говорю, что ты перемудрил с настройками. В частности, мне кажется с параметрами входа и выхода пакетов на самом сервере. Убери настройку выхода пакетов в локальную сеть и сделай правило так. попробуй сделать одно правило From: LocalHost, internal To: LocalHost, вместо твоих двоих.

Так а какая разница? Эти настройки касаются работы с внутренней сетью и по сути не отличаются. Даже если я вообще их уберу почта на сервере должна работать! И она работала... Даже если разрешить весь траффик всей внутренней сети для всех пользователей все равно почта не принимается.

Добавлено спустя 1 час, 25 минут, 29 секунд:
Кажется немного стал понимать. Похоже, что ISA Server 2004 не хочет нормально работать с пользователями AD Win2k3. Хотя это касается только приема почты по POP3. Указал доступ с конкретных машин для всех пользователей, вроде работает.

Добавлено спустя 7 минут, 11 секунд:
Кстати, вопрос. У меня 2 контроллера домена на Win2k3. Один основой, второй (с ISA и интернет) - дополнительный. Могут ли эти проблемы возникать из-за ошибок настройки дополнительного контроллера домена?

BobuS

Врядли. Хотя ничего исключать нельзя. А то, что ты говоришь, у тебя происходит имменно из за того, что ISA использует по умолчанию NAT, а именно он у тебя для всех пользователей и не настроен корректно (он у тебя настроен только для админа, правило from: internal to: external), зато когда ты для конкретного пользователа его делаешь он и начинает работать. Понимаешь?

Не совсем. Тогда в каких случаях используется SecureNAT, а в каких - Firewall client? И как это настроить и в чем между ними разница? В чем разница между настройками для Administrator from internal to external и для Пользователя from ComputerName to external. Почему не работал только прием почты по POP3? Почему сейчас все нормально работает(указан траффик с конкретных машин для всех пользователей)? И еще вопрос на засыпку Я скачал ISA с нета (откуда не помню) и у меня большое подозрение, что она триал(хотя ни слова об этом я не нашел). Можно ли как-то это выяснить?

BobuS

"Тогда в каких случаях используется SecureNAT, а в каких - Firewall client? И как это настроить и в чем между ними разница?"

Ты можешь одновременно использовать NAT и FireWall клиент, который по сути является тем иструментом, который ты можешь более четко настроить клиентов для работы, выставить какие либо ограничения. А NAT, это просто трансляция адресов, а SecureNAT, потому что можно фильтровать траффик не только по портам сетевым интерфейсам, но и по пользователям.

"В чем разница между настройками для Administrator from internal to external и для Пользователя from ComputerName to external."

С точки зрения трансляции адресов никакой, просто в первом случае тебе не нужно правило прописывать для каждого пользователя, а просто прописать одно правило и добавлять или исключать из него пользователей. Хотя теоретически второе правило не совсем корректно.

"Почему не работал только прием почты по POP3? Почему сейчас все нормально работает(указан траффик с конкретных машин для всех пользователей)?"

На картинке не видно точно правило для секретаря, но вполне возможно, что дело в нем.

" Я скачал ISA с нета (откуда не помню) и у меня большое подозрение, что она триал(хотя ни слова об этом я не нашел). Можно ли как-то это выяснить?"

Не подскажу. Ты серийник вводил при установке?

если я поставил FWклиента, то используется только он? Или я могу выбирать? Если да, то как?


Просто мне нужно, чтобы данный пользователь мог выходить в инет только с этой машины и только он. А в чем некорректность?


Там тоже самое с компа priem выход по протоколам (HTTP, POP3, SMTP, ICQ) для пользователя



Нет. Он уже был по умолчанию я только нажал ОК.

PS 2133 Спасибо за терпение. Недавно начал работать с ISA хочется получше с ним разобраться, т.к. програмка довольно удобная.

BobuS

"если я поставил FWклиента, то используется только он? Или я могу выбирать? Если да, то как?"

NAT это просто маршрутизация, а Firewall клиент, только устанавливает правила по которым клиент работает. Это грубо говоря.

"Просто мне нужно, чтобы данный пользователь мог выходить в инет только с этой машины и только он. А в чем некорректность?"

А если я залогинюсь под этим пользователем на другой машине? Дело в том, что NAT это трансляция адресов между двумя интерфейсами и подмена IP внутреней сети на один реальный. Поэтому, в принципе, нужно натить только внутренние и внешний интерфейсы и уже на них устанавливать правила, кому что можно, а кому нельзя.

"Там тоже самое с компа priem выход по протоколам (HTTP, POP3, SMTP, ICQ) для пользователя"

Вообщем, я тебе рекомендую сделать так. Скачай Kerio Winroute Firewall 6 ( http://www.kerio.com ), поставь его себе на машину и запусти в консоли управления wizard по настройки маршрутизации. Потом посмотри как там выстроились интерфейсы и порты и сделай у себя аналогично.

2133 Спасибо, попробую. Кстати, нет ли какой документации на ISA Server 2004?

BobuS

http://www.networkdoc.ru/insop/isa.html