ISA Server День добрый. По исе специалисты есть? Уткнулся тут в проблему, никак не справлюсь и поиск в инете пока не помог. Стоит ISA Server 2004 Enterprise edition.
Есть правило для почтовых протоколов. Доступ All Users. Клиенты работают через SNAT. Всё ОК, но безопасность решила, раз есть свой почтовый сервак, то надо запретить почту с внешних. Естетственно, кое-кому этот доступ надо оставить :-). Чтобы разрулить доступ по пользователям, поставил им Firewall Client. Правило ещё не трогал, а почта сразу всем отрубилась. Почему??? All User ведь! Смотрю в лог. Вижу связки "Initiated Connection" - "Closed Connection", deny нигде нет. В чём может быть проблема? Сразу скажу, что outlook.exe я разрешил, хотя почту пробую забирать через OE или The Bat!
tulkas что-то мутно ты описал. Где почтовики? Какие протоколы используешь? Кстати ресурс по исе www.isaserver.ru www.isaserver.org.
Этими ресурсами я уже обчитался :-( А что тут мутного? Есть правило: from internal to external, prolocols POP3,SMTP,IMAP4, All Users Если использовать SNAT, то почта, к примеру, с gmail.com забирается отлично. Как только ставлю FWC - "Не могу соединиться с сервером". Делаю FWC - disable, опять всё работает.
tulkas что в журнале файервол-сервиса пишет по этому поводу? Там можно отображать какие правила были блокирующими. И посмотреть их.
Так я ж писал. На попытку забрать почту в логах пишется (я сокращу вывод): 1. POP3 - "Initiated Connection" 2. POP3 - "Closed Connection" И, что обидно, никаких запретов!
tulkas похоже что соединение то было. "Closed connection" - значит соединение было создано это факт. Проблемы похоже на принимающем сервере, он отвергает соединение.
Получается, что соединение устанавливается, но данные не передаются. Ещё раз повторюсь. Когда выключаешь FWC и переходишь на SNAT, всё работает без изменения правил.
tulkas а FWC точно настроен на стороне клиента правильно? а пробовал не All users а например создать группу mailusers и туда когонадо добавить?
А что там настраивать? Прокси он обнаруживает сам и подключается (пробовал выключить автодетект и прописать имя прокси - ничего не изменилось). Пробовал я и указывать вместо "All Users" группы пользователей из домена.
Точно не помню, но по-моему так. Там тонкость есть. Если SNAT то он аутентификации юзеров не требует если всем разрешено, а если FWC то в любом случае аутентификация должна быть. Видимо она и не проходит.
tulkas Включи ведение журнала у службы файервола. Потом посмотри журнал, там будет видно блокирующие правила.
tulkas Извини не помню. Уже полгода как к ISe не подходил, да и до этого недолго занимался. Читай доки.