asuz Опубликовано 23 июля, 2012 · Жалоба есть схема сети Пользователь ---> Cisco 2960 ---> Cisco 3750x ---> Cisco 2851---> Inet Есть прокся MS Forefront, как сделать заворот трафика чтоб пользователи это не заметили (нужен именно 80 порт)? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
catalist Опубликовано 23 июля, 2012 · Жалоба читайте про wccp Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
asuz Опубликовано 23 июля, 2012 · Жалоба инфы в нете маловато про wccp и forefront... и не одного примера настройки forefront с кощкой я не встретил... а без wccp есть варианты? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
7net7 Опубликовано 23 июля, 2012 · Жалоба и не одного примера настройки forefront с кощкой я не встретил... а без wccp есть варианты поставить перед маршрутизатором компьютер с прокси и двумя сетевухами. на одну поцепить локалку и поставить тот ip, что был на 2851 а вторую соединить с маршрутизатором какой-нибудь левой подсетью. если настроить правила на прокси, так чтобы весь трафик кроме http пропускался свободно, то никто ничего и не заметит. в принципе можно сервер и с одной сетевой картой, но настроить будет чуть веселее. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 23 июля, 2012 · Жалоба Есть прокся MS Forefront, как сделать заворот трафика чтоб пользователи это не заметили (нужен именно 80 порт)? Форефонт, бывший иса, сам прекрасно умеет прозрачно заворачивать 80 и другие порты (по желанию) на свой веб кеш. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
asuz Опубликовано 24 июля, 2012 · Жалоба и не одного примера настройки forefront с кощкой я не встретил... а без wccp есть варианты поставить перед маршрутизатором компьютер с прокси и двумя сетевухами. на одну поцепить локалку и поставить тот ip, что был на 2851 а вторую соединить с маршрутизатором какой-нибудь левой подсетью. если настроить правила на прокси, так чтобы весь трафик кроме http пропускался свободно, то никто ничего и не заметит. в принципе можно сервер и с одной сетевой картой, но настроить будет чуть веселее. вставил вторую сетевуху, щас буду колдовать :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
7net7 Опубликовано 24 июля, 2012 · Жалоба вставил вторую сетевуху, щас буду колдовать будьте готовы к тому, что за тотальный контроль над веб-контентом придется иметь некоторые проблемы с трафиком (ftp, https на нестандартных портах и еще что-то, не помню). по крайней мере в исе такие ньансы возникали. правда все они счастливо разрешались гуглением. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 24 июля, 2012 · Жалоба У меня на исе 2006 иногда повреждался кеш (может из за ребутов по питанию, хз), и некоторые сайты переставали нормально работать. Видимо был повреждён закешированный на долго контент, который всё ломал. Прозрачный сквид таких проблем никогда не создавал, после правильной настройки кеширования. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
asuz Опубликовано 25 июля, 2012 · Жалоба поставил форофронт. поставил 2 сетевухи. правила работают всё ограничивает. Но добавляю пользователей в исключения из AD а всё равно не пускает, в логах пишет пользователь анонимус... естественно не каких форофронт клиент я не ставлю. подскажите куда копнуть. почему форофронт не видит пользователя? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
7net7 Опубликовано 25 июля, 2012 · Жалоба откуда взялась аутентификация? в первом посте была ж прозрачность для юзеров? если аутентификация на исе, то прикладной прокси (нужно настраивать в браузере) или клиент брандмауэра. если прикладной прокси, то ставить сервер в разрыв не нужно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
asuz Опубликовано 25 июля, 2012 · Жалоба получается следующее создаю правила блокировки ненужных сайтов для всех. а избранных через проксю(или клиента)(или правило для ip адреса)...по другому не как... всё я верно понял? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
7net7 Опубликовано 25 июля, 2012 · Жалоба лучше через клиента или по айпи, т.к. випам прокся может не понравиться. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 25 июля, 2012 · Жалоба Фишка форефонта(исы) в её клиенте, а польза только когда всё (большинство) в домене, иначе сплошной вред и бред будет. (пускать по IP можно, но тогда и фаерфонт как таковой не нужен) Можно ещё впад через дхцп раздать (в самой исе есть автонастройка браузера), но работает только с ИЕ где стоит галочка автонастройка, тогда браузер будет ходить через проксю сам, и авторизовывать текущего юзера, опять же в домене. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
7net7 Опубликовано 25 июля, 2012 (изменено) · Жалоба пускать по IP можно, но тогда и фаерфонт как таковой не нужен там фильтрация на уровне прикладных протоколов, не то что бы выдающаяся, но легко настраиваемая и неплохо отрабатывает. плюс межсетевой экран тоже простой. плюс статистика какая-никакая. плюс публикация ресурсов локалки в веб. те железки, что у тс контентную фильтрацию не умеют на таком уровне делать. Изменено 25 июля, 2012 пользователем 7net7 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 27 июля, 2012 · Жалоба Вы оба пришли сюда рекламировать эту хрень? Контентная фильтрация нафик не нужна, как правило, а если нужно, то обычно для хттп, это умеет сквид и ещё с десяток других софтин, вполне бесплатных, с широкими возможностями. Фаервол там неудобный, и не понятный, в сравнении с любым штатным под фрёй/линухом, настраиваемым из текстового редактора. Считает трафик эта хрень только на L4, кое как, отчёты ппц - ничерта не понятно, сторонние генерилки/анализаторы стоят денег и глючные. Единственная фишка - фаервол клиент, который позволяет на терминальном сервере разделить трафик пользователей, и позволяет идентифицировать приложение, ну ещё до кучи умеет прозрачно пробрасывать порты с сервера на клиента, аналог UPnP. Ещё, в иса 2004-2006 был очень "приятный" глюк: когда она сама поднимает ппп соединение для выхода в инет. Если такое соединение падает, то эта хрень все пакеты ставит в очередь, и подключится удалённо к такому серверу уже нельзя. Если было соединение, то оно работает. После восстановления подключения она эти все пакеты из очереди начинает обрабатывать, в результате инет простояв час в отключке ещё минут 10-30 будет в таком же состоянии, пока сервер там чего то внутри разгребает. Про то как иногда повреждается веб кеш я рассказывал, каждый раз когда это случалось некоторые сайты странно "работали" и каждый раз найти источник проблемы было не просто. Вдоволь наевшись этой куеты за несколько лет (2005-2008), я больше не хочу с ней связываться, даже если её бесплатно будут раздавать в месте с винсервером и другим не советую: эти мелкие плюшки не стоят таких денег (ххК.руб железо + 30К.руб сервер + ххК.руб форефонт) и такой головной боли. Поставил на шлюз фрю/линук и забыл о проблемах. А уж сетевых плюшек там просто тьма, и бесплатно. Даже мыльницы длинка (для бизнеса, не для дома) куда без проблемнее и функциональнее, тот же дфл. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
7net7 Опубликовано 27 июля, 2012 · Жалоба Контентная фильтрация нафик не нужна, как правило, а если нужно, то обычно для хттп, это умеет сквид и ещё с десяток других софтин, вполне бесплатных, с широкими возможностями. для ТС: можно попробовать squid вместо майкрософта, он должен поддерживать wccp Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...