groszmann 10 Geschrieben 27. November 2005 Melden Teilen Geschrieben 27. November 2005 Hallo ISA-Spezialisten, ich möchte einen ISA 2004 auf Win2k3-Server zur Absicherung einer ASP-Umgebung einsetzen und bin da auf unerwartete Probleme gestossen: - ausser der internen IP-Adresse des ISA-Servers ist keine IP des internen Netzwerkes von extern erreichbar. Da der Server derzeit noch in einer Testumgebung läuft, konnte ich als bisher einzige Firewall-Regel den uneingeschrämkten Zugriff von extern über alle Protokolle auf das interne Netzwerk einrichten. Dennoch kann ich von extern z.B. einen PING nur auf die interne IP-Adresse 192.168.1.7 des ISA-Servers absetzen. Pings auf andere IP-Adressen des internen Netzwerks, z.B. 192.168.1.50 werden vom ISA, ohne Hinweis auf eine Firewall-Regel, zurückgewiesen. Gleiches gilt für Anfragen an veröffentlichte Web-Seiten. Näheres zur Konfiguration: - ISA-Server 2004 unter Win3k3-Server als Edge-Firewall auf Standalone-Server - internes Netzwerk als eine Domäne, der DC übernimmt auch die DNS-Dienste - interner IP-Adressraum 192.168.1.0/24 Von der Konsole des ISA-Servers aus funktioniert der Zugriff auf das interne Netzwerk problemlos, Namensauflösung etc. völlig korrekt. Hat jemand einen Hinweis, was da im Weg stehen könnte? Grüsse Hans Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 27. November 2005 Melden Teilen Geschrieben 27. November 2005 Eine Ahnung? Ja, deine Regeln sind nicht ausreichend, ganz einfach. Zugriff von aussen wird über Serververöffentlichungen gemacht, hast du das so gemacht? Hast du dir schon mal die Seiten mit den Anelitungen auf http://www.msisafaq.de angeschaut? Und für was soll der ping von extern auf interne Resourcen gut sein, wobei du mit einer Veröffentlichungsregel für den ping sowieso nur eine einzelne Adresse erreichen kannst ? grizzly999 Zitieren Link zu diesem Kommentar
groszmann 10 Geschrieben 28. November 2005 Autor Melden Teilen Geschrieben 28. November 2005 Hallo Grizzly, welche Regel kann ausreichender sein als "lass alles von allen Quellen an alle Ziele durch"? Der Ping ist nur für Tests gut, aber noch nicht mal der kommt ja durch, ausser eben an die interne IP-Adresse des ISA-Server, nicht an das dahinterliegende interne Netzwerk. Serververöffentlichungsregel habe ich auch eingerichtet, aber ohne Effekt. Gruß Hans Zitieren Link zu diesem Kommentar
Christoph35 10 Geschrieben 28. November 2005 Melden Teilen Geschrieben 28. November 2005 Hi, Standardmäßig ist die Netzwerkbeziehung von Internem Netz zum Externen Netz und umgekehrt NAT. Deine internen IPs sind externen Clients nicht bekannt, das ist auch gut so ;). Deshalb müssen, wie von Grizzly beschrieben, Server-Publishing regeln herhalten, um interne Ressourcen von außen zugänglich zu machen. Danach mußt du dann die IP-Adresse des ISA-Servers verwenden, um auf die veröffentlichen Ressourcen zuzugreifen. Für die Namensauflösung von außen nach innen verwendest du split-dns, d.h. einen DNS-Server der öffentlich zugänglich ist, und für die veröffentlichten Ressourcen auf den ISA verweist, der dann als Reverse Proxy die Daten an den Client im externen Netz weitergibt. Christoph Zitieren Link zu diesem Kommentar
roman g. 10 Geschrieben 28. November 2005 Melden Teilen Geschrieben 28. November 2005 Du musst unterscheiden zwischen den Firewall Policy und den Network Rules! In den Network Rules musst du halt noch Route oder Nat vom entsprechenden Netz zum entsprechenden Netz konfigurieren ;) Is halt n bisschen gewöhnungbedürftig. Wenn man von extern auf intern zugreift, mit den Veröffentlichungsregeln Arbeiten! Super Sache! mfg Roman Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.