ISA 问题

显示全部楼层 · 2011-3-29 08:08:12

现在是双网卡ISA设置上网。
外网--ISA外网卡--ISA内网卡--交换机--域（DHCP DNS）ISA未加入域！
目前开放所有协议大家都能上网。
我建了一个用户集想只允许他们上网
DNS协议要怎么开放？内部到内部？DNS服务器上已转发到ISP提供的DNS
我现在有几个规则：允许某些用户上网。“上网用户”到外部。

允许 DNS。内部到外部

这样就允许了这些用户上外网。问题来了。。没有权限的用户可以上QQ等程序。我要怎么设置规则？使这些机器彻底断绝。我不能把DNS设置成允许“只上网用户到内外部”，因为我有邮箱服务器需要DNS解析。。。

千问 · 2011-3-29 08:08:12

<pre id=\"best-answer-content\" class=\"reply-text mb10\">没搞懂，为什么一定要限制DNS呢，限制80端口啊，现在网站基本上都是用80端口，其他的端口很少。有的话特殊限制。限制DNS的话人家晓得DNS对应的IP还不是可以访问！
另外你要限制DNS也可以啊，但是要有两个DNS服务器。你不是加入域了嘛，只要他们不是管理员权限的话就不能修改客户端DNS服务啥。不能看网页的DNS服务器指向域的DNS服务器（域DNS服务器不能设置转发器，删除根提示服务器或者ISA限制这个DNS服务器的DNS端口），另外自己手动添加邮箱服务器IP-DNS记录就OK了。可以上外就填两个DNS服务器。方法有很多。你甚至可以修改限制上网的HOST文件不用加DNS记录
没有权限的用户可以上QQ等程序。我要怎么设置规则？没懂你这句话的意思你要要他们上QQ还是不要他们上QQ？如果你是想不能上网的人什么都不能上只能用邮箱的话很简单啊，为那些人只开放SMTP和POP3端口就OK了！（放在最上）可以上网的建立一条规则允许从“可以上网用户（这个自己建立根据IP）”到外网

参考资料：<span class=\"gray\">sername</span>

千问 · 2011-3-29 08:08:12

<pre class=\"replyask-text\" id=\"content-2599427\">不好意思。邮箱服务器是要域名解析的。DNS 不允许其他人的话。解析不了

千问 · 2011-3-29 08:08:12

<pre class=\"replyask-text\" id=\"content-2600361\">看你的拓扑内部网络解析的话不需要经过isa啊，为什么要允许所有人呢

千问 · 2011-3-29 08:08:12

<pre class=\"replyask-text\" id=\"content-2600776\">客户机网关指向ISA，DNS指向DNS服务器。DNS服务器转发到外部ISP提供的DNS
这样不能上网的客户机访问邮箱经过DNS，所以要开放内网DNS

千问 · 2011-3-29 08:08:12

<pre class=\"replyask-text\" id=\"content-2641680\">目前采用只允许某些用户上网。是开放某些用户。而不是封闭。

千问 · 2011-3-29 08:08:12

<pre class=\"replyask-text\" id=\"content-2642147\">是根据IP来限定的？
如果是，按照我提示的即可完成

千问 · 2011-3-29 08:08:12

<pre class=\"replyask-text\" id=\"content-2643469\">是针对IP开放的。我不知道其他IP是否是全禁

千问 · 2011-3-29 08:08:12

<pre class=\"replyask-text\" id=\"content-2673716\">默认是全部禁止的。ISA的策略是这样的
你现在只要开启相应的服务器和用户上网即可。

比如AD中的DNS所在的DC也要可以上网。这样和客户端即可加入域，又可以通过内部的DNS转发上Internet。