Вопрос по ISA 2004 к всезнающему All'у

Jul. 19th, 2005 02:37 pm
bg38th: (Default)
[personal profile] bg38th
Есть ISA 2004 Standart Edition. Вопрос - можно ли его обучить журналировать POST-запросы, проходящие через него со всем их POST-содержимым? Если да, то как?
  • Add Memory
  • Share This Entry
Flat | Top-Level Comments Only

Date: 2005-07-19 10:58 am (UTC)
From: [identity profile] bizam.livejournal.com
Что есть POST-запросы?
У меня с ним другая проблема: я пробрасываю FTP сервер с внешнего адреса на внутренний. Не пускает приконнектиться из внутренней же сети.
Для всех пролтоколов работает, а для FTP - нет.

Date: 2005-07-19 03:05 pm (UTC)
From: [identity profile] 38th.livejournal.com
HTTP POST. Когда значения заносимых в форму полей передаются не в строке собственно запроса, а отдельным потоком I/O. Вот это содержимое полей, передаваемое POST запросом, и хочется логить.

Date: 2005-07-20 06:14 am (UTC)
From: [identity profile] 38th.livejournal.com
Шур, ну почему ты делаешь то, на что сам ругаешься матерно, когда это делают тебе? Сказано же - СТОИТ ISA 2004 standart. УЖЕ стоит. Меняться на что-то не собирается. Блин!

Другое дело, что можно попробовать в цепочку увязать... ТОлько ХЗ что получится - в сети сквозная интегрированная NT-autentification. Не очень понятно как туда портированный с унихов продукт встанет. А ставить сквид ПОСЛЕ исы просто некуда.

Вобщем, суть идеи понятна. Если удастся в уже построенную и работающую систему впихнуть ещё один чужеродный продукт - я к тебе обращусь тогда по поводу настроек, да?

Date: 2005-07-20 06:52 am (UTC)
From: [identity profile] cybernatic-cat.livejournal.com
Борь, я вовсе не издеваюсь - а всего лишь предлагаю заведомо рабочее, отработанное, простое, а главное - очевидное решение. Если тебя, конечно, интересует результат © ;).
Если же нужны лыжи и гамак - то да, можно и дальше изо всех сил цепляться за то, что уже стоит и даже как-то работает. Но с ISA лично я тебе, увы, ничем помочь не могу...

Да, кстати - не нужно пытаться поставить виндовый порт сквида. Ты меня потом за этот совет вообще анафеме предашь :). Поскольку умаешься оптимизировать его работу на NTFS, особенно под мощной загрузкой - по-хорошему, оно потребует под свой кэш отдельный носитель, и лучше SCSI. Сквид должен работать под юниксами, иначе получатся те же лыжи в гамаке.

Еще один вариант - протоколирование всех пакетов, имеющих отношение к HTTP-портам и последующий разбор их самопальными скриптами. Уж протоколировать-то ISA наверняка уметь должон. Но вот насчет скриптов... Опять получится трахома - ибо ни grep'а, ни sed'а, ни awk'а... Разве что виндовый порт perl'а поможет.

Date: 2005-07-20 07:14 am (UTC)
From: [identity profile] 38th.livejournal.com
Бл.. ин! Если бы у меня сервера были униховыми то это было бы Действительно очевидное решение. Более того. Оно тоже было бы УЖЕ рабочим, отработанным и простым. Но сеть ЧИСТО Win. КОнкретно 2003/XP only. Всё. На этой основе УЖЕ наверчено ОЧЕНЬ много всего. И в первую очередь пресловутая сквозная NT аутентификация, которой это "много всего" вовсю пользуется. Я надеюсь, тебе не пришло в готову посоветовать мне менять этот базис на что-то другое?

Далее. Униховых машин внутри сети нет. Т.е. получается что внутрь сквид поставить не получится. Можно конечно попробовать поднять к-н ликух на к-н говне... Но овчинка выделки не стоит, IMHO. Особенно с учётом негарантированности результата.

ПРотоколировать ISA умеет вполне. За исключением __содержимого__ POST-запроса. А скрипты это не проблема. Perl есть. Аналог grep'а в виндах есть. В конце концов можно и порты awk'а и sed'а поставить.

Date: 2005-07-20 07:22 am (UTC)
From: [identity profile] cybernatic-cat.livejournal.com
Я надеюсь, тебе не пришло в готову посоветовать мне менять этот базис на что-то другое?

В твоем случае - наверное, нет. Слишком сложно.
А я когда-то у себя, приняв сеть от прошлого админа - таки сломал все нафиг и переполз на юникс-технологии. Ибо это было куда проще, нежели и дальше трахаться с виндами...

ПРотоколировать ISA умеет вполне. За исключением __содержимого__ POST-запроса.

Погоди, что-то я не понимаю... ISA не умеет протоколировать содержимое голых tcp-пакетов?! Прямо вот так, целиком, вместе с хидером?!

Date: 2005-07-20 07:56 am (UTC)
From: [identity profile] 38th.livejournal.com
Чего знаешь, то и ставишь. А вообще - "всё сломал и поставил что умею" это не аргумент IMHO. Я бы ещё понял, если б ты уних с виндами наравне в сети срастил... ТОгда и советы подобные по использованию убедительно выглядели. А так, религиозные войны, не более. Я вот например про вины и уних прямо противоположенное сказать могу. С виндами еботни ну совсем никакой, а унихом... Есть вещи, кривее сделанные в виндах, а есть в унихах. Ты знаешь юних, я виндовс. В свою очередь, ты не знаешь досконально винды, я уних. Потому те технологии, о которых в первую очередь подумешь ты, я буду использовать в самую наираспоследнюю очередь. И наоборот. Что посоветует рыба на вопрос "как лучше перепрыгнуть через камень"? Взмахиваешь плавниками, потом хвостом, надуваешь рыбий пузырь... Ага? ;))

Так вот про это самое-то как раз вопрос и был... Должен уметь по идее, но я не нашёл - как.

Date: 2005-07-20 09:20 am (UTC)
From: [identity profile] cybernatic-cat.livejournal.com
С виндами еботни ну совсем никакой, а унихом...

Должен уметь по идее, но я не нашёл - как.

Гыыы... :))

Уних:
iptables -t filter -A INPUT -p tcp --dport 80 -j LOG

Винда:
А хуй его знает - нужно долго и нудно рыться в доке, и то не факт, что вообще найдешь.

Это называется "ну совсем никакой еботни"?! ;))

Ладно, действительно holy war получается, лично я завязываю...

Date: 2005-07-20 09:40 am (UTC)
From: [identity profile] 38th.livejournal.com
Ну вот такого встроенного в виндах нет конечно.

А в доках рыться всё равно надо. Что там что тут. И к еботне изучение доков я бы не относил.

Ладно. Действительно всё более менее понятно. Ты вот только скажи - говоря про сквид ты вот эту строку имел ввиду или там есть ещё другой вариант?

Date: 2005-07-20 09:51 am (UTC)
From: [identity profile] cybernatic-cat.livejournal.com
Ты вот только скажи - говоря про сквид ты вот эту строку имел ввиду или там есть ещё другой вариант?

Нет, приведенная строка к сквиду не относится вообще. Это команда включения протоколирования пакетов ядерным файрволлом. Тоже вариант решения (с последующим разбором протокола) - но далеко не самый оптимальный.

А сквид, как кэширующий прокси, умеет вести логи сам. Правда, есть два момента:
1) Все клиенты должны ходить к http-серверу через прокси, иначе нет смысла - и лучше всего это обеспечивается установкой transparent proxy, но умеет ли такое ISA - я не знаю. В унихе делается, опять же, одной строкой в конфиге файрволла :).
2) Я не уверен, что Сквид умеет вычленять из общего потока именно пакеты, порожденные HTTP POST (нужно, опять же, доку смотреть :). Но вот осаживать в кэше все, прошедшее через него, и вести подробный протокол всего прошедшего - умеет однозначно.

Date: 2005-07-19 04:57 pm (UTC)
From: [identity profile] bizam.livejournal.com
Понял. Не, так глубоко я еще не влез. В субботу доберусь до работы - гляну.

Date: 2005-07-20 06:16 am (UTC)
From: [identity profile] 38th.livejournal.com
Ты ису энтерпрайз не пытался никуда ставить? Что-то я краем уха слышал, что она такое умеет, а стандарт типа нет. Вот только эта инфа из разряда ОБС. А проверить не получилось пока.

Date: 2005-07-20 06:18 am (UTC)
From: [identity profile] bizam.livejournal.com
Нет еще. Сейчас на новый звуковой софт переходим, потом руки дойдут и до выхода в интернет.
  • Add Memory
  • Share This Entry
Flat | Top-Level Comments Only

Profile

bg38th: (Default)
bg38th
My Website

February 2016

S M T W T F S
 123456
78910111213
1415 1617181920
21222324252627
2829     

Most Popular Tags

Page Summary

Style Credit

Expand Cut Tags

No cut tags
Page generated Jul. 22nd, 2025 11:39 am
Powered by Dreamwidth Studios