ISA + Squid
- From
- Igor Vinogradov (2:5096/9.39)
- To
- Urri Kotov (2:5054/37.63)
- Date
- 2004-02-22T14:27:08Z
- Area
- RU.WINDOWS.NT.INTERNET
Hi.
А просто каскадировать ISA? Я что-то не вижу смысла заморачивать ещё и Squid... ISA c ISA хорошо и просто доверяются, а клиенты получают фаайрволл клиентов... Я наверное задачу не до конца понял..:)
UK> Дело было Saturday January 24 2004 20:29, Dima Belonozhkin писал к
UK> All:
DB>> На одном из серверов установлен Microsoft Internet Security &
DB>> Acceleration (ISA) Server (http://www.microsoft.com/isaserver/),
DB>> который реализует возможность прозрачного выхода пользователей в сеть
DB>> Internet. С этой целью на рабочих местах устанавливается ISA Firewall
DB>> client. Некоторые группы компьютеров подключены к серверу ISA через
DB>> весьма тонкие и дорогостоящие каналы. Поэтому есть желание для их
DB>> разгрузки установить в каждой такой группе прокси-сервер Squid
DB>> (http://www.squid-cache.org/), в частности его реализацию под Win32 -
DB>> SquidNT (http://www.acmeconsulting.it/SquidNT/).
UK> [...]
DB>> В этой связи хотелось бы узнать насколько
DB>> реально заставить работать связку, где с одной стороны выступает
DB>> сервер ISA, а с другой - Firewall client + SquidNT? Или может быть
DB>> существуют другие, более эффективные способы решения вышеописанной
DB>> задачи?
UK> Вариант "один" - может работать даже без Firewall клиента на машинах со
UK> squid. Достаточно на ISA настроить правила, разрешающие работу на основе
UK> clients set, т.е. IP-адресов. ISA будет для машин со squid выглядеть
UK> гейтом
UK> с NAT. Microsoft называет это "secure-NAT client". Проверял, работает.
UK> Можно настроить правила, разрешающие машине со squid использовать _не
UK> только_ HTTP.
UK> Вариент "два" - так как ISA - это еще и прокси-сервер, можно просто
UK> каскадировать squid с ISA (создать цепочку из двух прокси). При этом на
UK> ISA
UK> можно применять как правила на основе clients set ("авторизация по
UK> IP-адресу"), так и правила на основе учетной записи пользователя. Во
UK> втором
UK> случае надо проверить, умеет ли squid windows-integrated авторизацию. Если
UK> не умеет - включить в ISA basic-авторизацию (она же clear-text, она же
UK> PAP). Hint: пароль при каждои запросе будет ходить в открытом виде.
UK> Настраивал эту схему с E-serv, он умеет только basic-авторизацию. Схема
UK> для
UK> "HTTP only"
UK> Вариант "три" - таки поставить Firewall client'а на машщину со squid, и
UK> запускать сервис squid под учетной записью, известной ISA. Тонкое
UK> извращение. Сам не делал. Теоретически работать должно. Но зачем?..
DB>> FIPS: FmMB2 001400 With best regards DAN
DB>> Belonozhkin !
UK> Будь! За избитые истины не бьют, Бьют за неизбитые.
UK> Urri.
UK> -+-
UK> + Origin: Point Of WASP Station (2:5054/9.17)
С уважением, Игорь Виноградов.
---
* Origin: ...EveryThing But The Girl... (2:5096/9.39)
SEEN-BY: 292/100 400/333 450/102 166 187 208 452/160 461/33 74 106 220 640
SEEN-BY: 463/68 220 464/34 36 465/92 204 262 466/20 467/70 469/125 418 478/40
SEEN-BY: 478/44 65 550/150 5068 4600/126 4614/9 4615/21 4623/56 4625/9 4626/6
SEEN-BY: 4632/10 4635/99 1024 4641/444 4642/17 4643/10 4651/25 4657/9 5001/27
SEEN-BY: 5001/77 5002/5002 5003/34 5004/16 5005/14 5006/1 5009/14 5010/77 146
SEEN-BY: 5011/13 5012/30 5014/5014 5015/4 28 5019/31 5020/37 52 69 115 128 139
SEEN-BY: 5020/175 321 362 392 496 600 639 794 817 902 921 937 968 1100 1169
SEEN-BY: 5020/1212 1234 1301 1443 1626 1642 1822 1930 2200 2204 2208 2871 4001
SEEN-BY: 5020/4096 4400 4441 5021/3 11 5022/5 5023/11 46 5025/3 39 151 5026/49
SEEN-BY: 5027/31 5028/63 5029/34 45 50 5030/69 175 382 436 562 573 920 953 966
SEEN-BY: 5030/1016 5031/26 50 5036/1 13 5037/21 5040/33 47 59 5041/4 5042/8
SEEN-BY: 5045/47 5047/23 5049/125 157 5050/9 41 5051/35 5052/4 5053/16 18
SEEN-BY: 5054/1 9 10 29 30 37 45 50 67 79 81 5055/17 177 181 5056/16 5058/24
SEEN-BY: 5058/77 5059/10 20 5060/9 5061/15 5062/10 5063/23 41 5064/35 36
SEEN-BY: 5066/196 5068/1 5069/7 5070/26 66 156 5071/1 5075/10 5077/70 5078/20
SEEN-BY: 5079/49 5080/111 301 5083/13 5085/13 5090/3 1029 5093/20 23 27 5095/1
SEEN-BY: 5096/9 18 5097/10 5100/113 6009/11 6033/2727 6053/1 6055/2 86 6070/5
SEEN-BY: 6070/228 6083/11 12
�PATH: 5096/9 5020/52 5054/1 79 37