IWSVA 5.5

[tester2k 0]

поставил. активировал. сразу почему-то полез смотреть about (вверху справа) и что же "About Trend Micro InterScan Web Security Virtual Appliance 5.1 Service Pack 1"

думаю, вот блин, обновился

Успокоился когда залел в Administration - System updates

там указано

OS version: 2.0.1039

Applicaton version 5.5_Build_Linux_1287

[Alexey Dudnikov 5]

главное чтобы новые "фишки" работали

[tester2k 0]

с понедельника IWSVA 5.5 выжирает траффик Интернета, обнаружил несразу, сначала 20 Мбит/с, сегодня ночью 40 Мбит/с !!!

вырубил сервер - траффик в норме.

Что это могло быть?

[tester2k 0]

запускаю сервер.

Пишет:

SRAT: Hotplug zone not continuous. Partly ignored.

Red Hat nash version 5.1.19.6 starting

ниже

Kernel alive

Kernel direct mapping tables up to 1000-бла-бла-бла

и всё. висяк.

Что это такое? Что делать?

[tester2k 0]

запускаю сервер.

Пишет:

SRAT: Hotplug zone not continuous. Partly ignored.

Red Hat nash version 5.1.19.6 starting

ниже

Kernel alive

Kernel direct mapping tables up to 1000-бла-бла-бла

и всё. висяк.

Что это такое? Что делать?

убрал Dinamic Memory, оставил машине 2Гб статики и сервер поднялся!

[tester2k 0]

опять вечером, с четверга на пятницу, сервер IWSVA 5.5 что-то упорно тянет с интернета, вешая весь канал.

причем если первый раз по показаниям егошного дашборда было видно что тянет именно он, то сейчас видно только десятую часть реального траффика. поэтому при анализе этот сервер был исключен из списка подозреваемых. проверка остальных ничего подозрительного непоказала. Остановил сервер - траффик нормализовался.

Привожу скрин показаний дашборда и статистики интерфейса коммутатора подклчюенного к iSCSI-target'у (там располагается виртуальный сервер) во время зашкаливания:

Просмотрел настройки шедулера, тянет Scan Engine Update.

Видимо тянет-потянет, вытянуть не может. Пишет что апдейт свежий 9.5.1005, но дату апдейта показывает еще летнюю.

Обновил мануально.

Посмотрим до след. пятницы

[tester2k 0]

Посмотрим до след. пятницы

пришло время пятницы, и граффик траффика по прежнему зашкаливает. всему виной сервер IMSVA - после его перезагрузки все гуд.

Гуру подскажите как лечить?

[Alexey Dudnikov 5]

я вам не скажу за всю Одессу

надо смотреть по tcpdump, что загружается - может заклинило обновление какие-то обновления

[tester2k 0]

надо смотреть по tcpdump, что загружается - может заклинило обновление какие-то обновления

а что дампить то?

дайте наводку..

[tester2k 0]

внедряю IWSVA 5.5 как отдельный прокси-сервер.

хочу ограничить доступ к серверу LDAP-группой.

где настраивается это ограничение?

[Николай Романов 15]

внедряю IWSVA 5.5 как отдельный прокси-сервер.

хочу ограничить доступ к серверу LDAP-группой.

где настраивается это ограничение?

Если речь идет о разграничении прав доступа к консоли управления с привязкой к LDAP, то в IWSVA этого нет. LDAP в продукте рассчитан прежде всего на создание политик доступа в Интернет и сопутствующие задачи.

[tester2k 0]

Если речь идет о разграничении прав доступа к консоли управления с привязкой к LDAP, то в IWSVA этого нет.

нет, речь идет об ограничении клиентского доступа к прокси-серверу при помощи групп AD

[tester2k 0]

HTTP-Configuration-Access Control Settings. Вкладка Client IP - там только адреса. А есть ли такая только по LDAP-группам?

[Alexey Dudnikov 5]

это только для регламентирования доступа к порту HTTP, а по LDAP только политиками можно нарезать доступ.

[tester2k 0]

это только для регламентирования доступа к порту HTTP, а по LDAP только политиками можно нарезать доступ.

Создал две политики урл фильтрации (HTTP-URL Filtering- Policies), одну разрешающую доступ для LDAP-группы, другую запрещающую доступ ко всему контенту для тестовой LDAP-группы с тестовым аккаунтом. В конце списка политик сидит глобальная политика разрешающая полный доступ. Тестовый аккаунт не находится в разрешающей LDAP-группе.

Применяю политики и вижу что доступ у тестового пользователя как был так и есть.

Если в этой же политике меняю значение аккаунта с группы на юзера, то политика блокировки отрабатывает четко.

Ставлю заново группу и он проходит через глобальную политику.

Еще заметил что не все пользователи, находящиеся в разрешительной LDAP-группе, обрабатываются разрешительной политикой. Они попадают в Интернет через разрешительную глобальную политику.

Как-то непонятно работает блокировка с применением групп. Не заводить же политики по количеству аккаунтов!

Что делать?

[tester2k 0]

решил проблему отключением ЛДАП-кэша. дефолтовый интервал - полтора часа, думаю что если бы выждал это время то решилось бы само. Плюс установил патч 1.

тут описание проблемы и решение http://esupport.trendmicro.com/solution/en-us/1059421.aspx

уходит системное время вперед, из-за этого трудно диагностировать логи. Установил автосинхронизацию с виндовым контроллером домена - все равно уходит