Friday, October 19th, 2018

Игнорирование Firewall клиента, используя файл Locallat.txt

Published on Февраль 12, 2009 by   ·   Комментариев нет

Как мы все хорошо знаем, ISA Server 2004 это фаервол, и его задача – блокировать весь не нужный трафик. Но иногда бывает нужно пропустить этот трафик, не пропуская его через ISA Server. Следующая статья объясняет возможности, доступные в ISA Server 2004, которые помогут Вам добиться этого.

Клиент ISA Server Firewall и настройки клиента фаервола

Если у Вас есть установленный на машине клиент ISA 2004 Firewall, внутренний и внешний трафик всегда будет проходить через ISA Server, если Вы не внесете кое-какие изменения. Вы можете пропускать трафик без прохождения его через фаервол ISA, используя файл “LocalLAT.txt” на клиентской машине. Мы все знакомы с локальным LAT (Local LAT) в ISA Server 2000, но этот LAT-файл – это клиентский файл и находиться только на клиентской машине. В этом примере я добьюсь пропускание всего трафика с 10.10.5.X без прохождение его через ISA Server.

  • Зайдите Firewall
  • Зайдите в папку C:\Documents and Settings\All Users\Application Data\Microsoft\Firewall Client 2004. Создайте новый текстовый файл с именем LocalLAT.txt.

    Wikipedia locallat txt

    Рисунок 1

  • Сделайте двойной щелчок мышью по файлу для того, чтобы открыть его в блокноте. Добавьте в него следующий диапазон IP адресов: 10.10.5.1 <TAB> 10.10.5.255. Сохраните файл и закройте его.

    Locallat txt

    Рисунок 2

  • Откройте Управление компьютером (Computer Management) или Службы MMC (Services MMC) и перезапустите агент клиента Firewall (Firewall Client Agent).

    Locallat txt

    Рисунок 3

После всех этих настроек Вы можете увидеть, что трафик к 10.10.5.X больше не идет через ISA фаервол. Клиент Firewall будет смотреть в LocalLAT.txt, читать перечисленные там IP адреса и считать, что они находятся в локальной сети (т.е. приемник и отправитель воспринимаются клиентом Firewall как находящиеся в одной ISA фаервол сети). Даже если Вам надо пропускать трафик к одному единственному IP адресу, их надо определять парами. Вы можете использовать Group Policy или любую другую из существующих программ размещения, чтобы отправить этот файл клиентской машине.

Также есть серверная компонента для машин с установленным клиентом фаервол для того, чтобы игнорировать ISA Server, когда пытаемся получить доступ к какому-то определенному домену. В следующей секции объясняется, как ее настроить:

  • Откройте консоль ISA фаервол.
  • Выберите ToolboxСети(Networks).
  • Нажмите правую кнопку мыши на Внутренней сети (Internal) и перейдите в Свойства(Properties).
  • Выберите вкладку Domain и нажмите Добавить (Add).
  • Введите имя домена в поле Enter a domain name to include: и нажмите OK.

    Locallat txt

    Рисунок 4

  • Нажмите OK на странице Внутренние свойства (Internal Properties), чтобы закрыть окно.

    Locallat txt

    Рисунок 5

Такая настройка сделает возможным не использовать ISA Server машиной с клиентом фаервола, когда она пытается контактировать с доменами из списка Domain Names box.

Настройка Прямого доступа и игнорирование Прокси сервера

Даже если Вы добавили Ваши интранет IP адреса в файл LocalLAT.txt, ISA фаервол не будет их пропускать когда вы используете Internet Explorer и действует Автоматическая Настройка (Настройка клиента Web прокси). Существует несколько настроек ISA фаервола для того, чтобы разрешить Прямой доступ и игнорирование прокси, когда работаем с интранет-сайтами и серверами. Вы можете видеть настройки в моей лаборатории на следующем скриншоте. Используется Скрипт с автоматическими настройками (Automatic configuration script), и я использую прокси для всех соединений IE.

Locallat txt Windows 7

Рисунок 6

Вы можете настроить прямой доступ к нескольким IP адресам или доменам, используя следующую методику:

  • Откройте консоль ISA фаервола.
  • Выберите ToolboxСети(Networks).
  • Нажмите правую кнопку мыши на Внутренней сети (Internal) и перейдите в Свойства(Properties).
  • Выберите вкладку Web Browser.
  • Выберите свойство Игнорировать прокси для серверов этой сети (Bypass proxy for the servers in this network). Это скажет клиентской машине игнорировать ISA сервера, когда она пытается получить доступ к локальному серверу.
  • Выберите свойство Directly access computers specified in the Domain tab.
  • Нажмите кнопку Добавить (Add).

    Locallat txt Windows 7

    Рисунок 7

  • Введите диапазон IP адресов или список имен доменов. Нажмите OK.

    Locallat txt Windows 7

    Рисунок 8

  • Нажмите OK на странице Внутренние свойства (Internal Properties), чтобы закрыть окно.

Заключение

В этой статье я объяснил различные способы игнорировать ISA фаервол когда пытаемся получить доступ к локальным серврам. Я надеюсь, что эта статья поможет Вам справиться с различными опциями, доступными в ISA Server 2004. Как всегда, я жду Ваших комментариев и предложений по материалам этой статьи. Если у Вас есть какие-либо вопросы, связанные с этой статьей, напишите мне на электронный ящик.

www.isaserver.org


Смотрите также:

Tags: , ,

Readers Comments (Комментариев нет)




Да человек я, человек! =)

Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]