ISA 2006 Verweigerte Verbindung

[sharp69 10]

Hallo zusammen,

 

ich hab da mal eine Frage. Ich hab eine Zugriffsregel erstellt, die mir die Kommunikation über einen bestimmten TCP-Port (8014) zulassen soll. laut dem Datenverkehrsimulator sollte die Regel funktionieren tut sie aber nicht. Ich versteh's nicht. Kann mir jemand einen Tipp geben wie ich genau sehen kann wer oder was die Verbindung verweigert??

Gruß

Jörg

[grizzly999 11]

Was soll das für eine Verbindung sein, welches Protokoll?

Und das hier kenne ich nicht:

laut dem Datenverkehrsimulator

Was üfr ein Simulator?

Und was sagt das Realtime Logging, wird da was verweigert?

Braucht's da sekundäre Verbindungen?

Wie ist die Regel genau eingerichtet?

 

Fragen über Fragen, ohne die ist keine Hilfestellung möglich.

 

grizzly999

[sharp69 10]

Also:

 

Der ISA hat 3 Netze extern, DMZ und intern. Die Server in der DMZ sollen mit dem Symantec Manager reden können. Der läuft auf Port 8014. Die Kommunikation sollte HTTP sein. Die Regeln heißt:

Protokoll Sym TCP Port 8014 ausgehend keine sekundären Verbindungen.

von umkreis -> intern Protokoll Sym zulassen immer alle Benutzer.

Es kommen keine IP-Pakete im internen Netz an.

 

Der Datenverkehrssimulator ist in der Problembehandlung zu finden.

Es handelt sich im einen ISA 2006 Enterprise SP-Level=uptodate (SP2 oder so)

 

Nachtrag: SP1 mit Supportability Update Paket was dem SP3 für ISA 2004 entspricht. Siehe: http://www.msisafaq.de/Anleitungen/2006/Downloads/index.htm#939455

 

genug info?

 

Danke

Jörg

[grizzly999 11]

genug info?

 

Danke

Jörg

Nein, noch nicht. Jetzt wo endlich mehr Details rauskommen :D steltl sich die Frage, welches Netzwerkverhältnis zwischen DMZ und Intern besteht?

 

 

grizzly999

[sharp69 10]

Ha, das könnte der Tipp gewesen sein. Da war nichts. Hab das jetzt mal geändert (hinzugefügt) im Route (beide netzt sind Private 192er). Muss nur warten bis es sich rumgesprochen hat. Das ist der Nachteil bei der Enterprise Version.

[djmaker 95]

Hmm,

 

bei Routing brauchst Du keine Regeln. Dann hast Du auch keine DMZ mehr. :D

 

NAT wäre hier richtig.

[Cybquest 36]

Hmm,

 

bei Routing brauchst Du keine Regeln. Dann hast Du auch keine DMZ mehr. :D

 

NAT wäre hier richtig.

 

NAT zwischen Intern und DMZ? :suspect:

[djmaker 95]

NAT zwischen Intern und DMZ? :suspect:

 

Die DMZ liegt nach meiner Ansicht außerhalb des internen Netzwerks. Diese These wird auch mit der Aussage das es "2" 192er private Netze gibt unterstützt.

 

Ich sehe damit das 2. Netz (mit dem Server der den Symantec AV Client hat / in der DMZ) als (für den ISA) extern an. Und das ist eigentlich automatisch per Nat angebunden (da nicht im internen Netz). Bei Routing schaltest Du jegliche Firewall aus.

 

Zum Verständnis: internes Netz - ISA 2006 -DMZ- Firewall - Internet

[Stephan Betken 43]

Die DMZ liegt nach meiner Ansicht außerhalb des internen Netzwerks....

Bei Routing schaltest Du jegliche Firewall aus.

Eine DMZ liegt immer ausserhalb des internen Produktivnetzwerkes, denn sonst wäre es ja keine DMZ.

 

Wie jetzt? Warum sollte bei Routing die Firewall nicht funktionieren? :suspect:

[djmaker 95]

Hmm,

 

unter Routing verstand ich immer das Netzwerkverkehr von einem in ein anderes Netz und zurück kommt, und zwar ohne Beschränkungen. Sofern ich da falsch liege ist der Rest natürlich auch un-richtig...:(

[Cybquest 36]

Natürlich kann man auch bei gerouteten Netzen Regeln im ISA definieren!

Die Firewallregeln hängen nicht vom Netzwerkverhältnis ab.

[NorbertFe 2.110]

Hmm,

 

unter Routing verstand ich immer das Netzwerkverkehr von einem in ein anderes Netz und zurück kommt, und zwar ohne Beschränkungen.

 

Das wäre dann ein Router. ;) Wir reden hier aber von einer Routing Firewall ;)

Und die kann natürlich auch Zugriffe auf allen möglichen Ebenen regeln.

 

Bye

Norbert