Rudman 10 Geschrieben 29. Juni 2005 Melden Teilen Geschrieben 29. Juni 2005 192.168.100.254 (Router) <-> 192.168.100.168 (Firewall) 192.168.104.5 <->192.168.104.206(proxy)->clients wenn ich bei den clients als Standartgateway 192.168.104.206 eintrage, wie komme ich dann ins Inet, was muss ich da für Routen eintragen??? Zitieren Link zu diesem Kommentar
il_principe 11 Geschrieben 29. Juni 2005 Melden Teilen Geschrieben 29. Juni 2005 hi, wenn dein proxy korrekt konfiguriert ist, dann brauchen deine clients keinen standardgateway.... denn dafür ist er ja da. Proxy überall wo benötigt eintragen und ausprobieren. P.S.: Sonst wäre es die IP 192.168.104.5 (Firewall) denn die routet anscheinend aus dem 192.168.104.x netz raus. lg il_principe Zitieren Link zu diesem Kommentar
Rudman 10 Geschrieben 29. Juni 2005 Autor Melden Teilen Geschrieben 29. Juni 2005 also trage ich bei den clients als gateway die Firewall ein, der muss ich dann noch bescheid sagen das ich ins inet kann. Der Proxy hat aber auch ne integrierte Firewall.... Edit: ach mist verkehrt aufgeschrieben... 192.168.100.254 (router) <-> 192.168.100.5 (firewall) 192.168.200.100 <-> 192.168.200.5 (proxy) 192.168.104.206 <-> 192.168.104.xxx (clients) so rum war es ja, kommt man dann überhaupt noch ohne proxy raus. Zitieren Link zu diesem Kommentar
il_principe 11 Geschrieben 29. Juni 2005 Melden Teilen Geschrieben 29. Juni 2005 wie gesagt je nachdem.. kann nicht sagen ob deine firewall neben routing auch noch nat (network adress translation) aktiviert hat, bzw. ob sie die clients überhaupt raus lässt. Wenn du schon einen Proxy-Server hast, dann würde ich den Surftraffic darüber leiten (Filtermöglichkeiten) il_principe Zitieren Link zu diesem Kommentar
dippas 10 Geschrieben 29. Juni 2005 Melden Teilen Geschrieben 29. Juni 2005 Was haltet ihr den von folgender Konfig: Router 192.168.100.254 <-> Firewall 192.168.100.5 (WAN) 192.168.104.206 (LAN) 192.168.200.100 (DMZ) <-> an LAN-Port Clients 192.168.104.* <-> am DMZ-Port Proxy 192.168.200.5 (mit Webcontent/Virenscanner) Dann als Gateway die Firewall und per GPO die Proxyeinstellungen verteilen, also beisp. 192.168.200.5 Port 8080 In Firewall jeden http-Verkehr zwingend in die DMZ über den Proxy leiten. Vorteile: 1. Gateway "passt" 2. Firewall kann für unterschiedliche Dienste (telnet beisp.) einen direkten Weg freigeben. Je nach Firewall ist das auch User-spezifisch möglich 3. User können nicht mehr am Proxy vorbei 4. Du kannst die Features der Firewall voll ausnutzen. 5. Wenn Virenscanner in Proxy integriert gibt das zusätzliche Sicherheit grüße dippas Zitieren Link zu diesem Kommentar
Rudman 10 Geschrieben 30. Juni 2005 Autor Melden Teilen Geschrieben 30. Juni 2005 Tjoa is natürlich auch ne möglich keit... aber ich komme dann auch nicht am Proxy Vorbei... ich möchte diesen ja umgehen, und das muss doch auch irgendwie über die gateways und routingtabellen zu lösen sein... alle anderen nutzen natürlich den proxy *g* EDIT: um mir das mal vorzustellen hab ich das aufgemalt: siehe anhang also trag ich bei jedem client die Firewall als Gateway ein. Per GPO Proxyeinstellung durchreichen. Der firewall klar machen : Allow http from LAN to DMZ und Allow http from DMZ to WAN und im ISA ???? Wer nicht zum Proxy will müsste quasi die Proxyeinstellungen entfernen und der Firewall sagen Client darf http from LAN to WAN... sehe ich das irgendwie richtig, danke für Anregungen Zitieren Link zu diesem Kommentar
dippas 10 Geschrieben 30. Juni 2005 Melden Teilen Geschrieben 30. Juni 2005 Wer nicht zum Proxy will müsste quasi die Proxyeinstellungen entfernen und der Firewall sagen Client darf http from LAN to WAN... sehe ich das irgendwie richtig, danke für Anregungen ja, genau so wäre das. Allerdings stellt sich natürlich die Frage, ob jeder denn an den Proxyeinstellungen runfummeln darf und ob auch jeder Client die Regel LAN -> DMZ -> WAN umgehen darf. Wir haben das bei uns folgendermaßen geregelt: 1. Es gibt eine OU "EDV", bei der via GPO zwar die Proxyeinstellungen übergeben werden, aber die Bearbeitung dieser Einstellungen erlaubt ist. Alle anderen User haben (andere OU) nicht das Recht, diese Einstellungen zu ändern. 2. Die Firewall kennt eine Handvoll Clients (nämlich die Admin-Workstations) für die eine extra Firewall-Regel besteht. Diese Regel würde diesen Clients den direkten Weg LAN -> WAN erlauben. Natürlich sind diese Regeln eng gefasst, damit wir nicht ausversehen was machen, was wir so nicht gedacht haben. Aber selbstverständlich können wir an diesen Regeln schrauben. Wenn wir also beispielsweise mal RDP machen müssen um jemanden auzuhelfen, geben wir dieses Protokoll für die Admins und den direkten Weg frei. Wird es nicht mehr benötigt, wird die Regel wieder deaktiviert. Was dabei allerdings im ISA eingestellt werden müsste, kann ich dir nicht sagen, da wir keinen ISA nutzen, sondern eine Appliance. grüße dippas Zitieren Link zu diesem Kommentar
Rudman 10 Geschrieben 30. Juni 2005 Autor Melden Teilen Geschrieben 30. Juni 2005 Jo danke erstmal... den Proxy umgehen wollen nur 2 Clients, da der ISA alles mitlogt, das gefällt uns nicht, zwecks top user, es sieht nicht gerade nach viel arbeit aus, wenn die admins an erster stelle stehen. also darf nur unsere IP in der Firwall direkt raus und nicht erst zum proxy. ansonsten sind die änderungen ja auch nur uns zugelassen, von daher wäre es den normalen usern egal ob sie über proxy gehen, die wissen eh nichts davon. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.