ISA Server 2004
Last Updated: Jul 07 2006 06:57, Started by
fiara13
, Jun 07 2006 19:27
·
0
#1
Posted 07 June 2006 - 19:27
Am si eu o mica problema... vreau sa introduc un al doilea firewall (ISA Server 2004), primul este un linux.
In interiorul retelei am un server de mail, un server cu o baza de date care se actualizeaza de pe un site extern, un server web intern care functioneaza prin routarea catorva IP-uri publice catre cel intern (192.168...). Cum pot sa fac ca cei din internet sa acceseze reteaua ca inainte. Site-ul extern sa trimita datele catre baza de date... etc. Ce tip de template ar trebui sa folosesc? Edited by fiara13, 07 June 2006 - 19:28. |
#2
Posted 07 June 2006 - 19:34
Nici un template.Iti creezi tu regurile una cate una.Ce ar trebui sa sti din start este ca nu poti face 1:1 NAT cu ISA.
|
#3
Posted 08 June 2006 - 12:52
merci mult
...am incercat sa trec la Network Rules - Internet Access- NAT - All Networks-All Networks si a mers in ambele directii... Mai definesc zona perimeter network dintre cele 2 firewall-uri? Aici nu am niciun server, toate se gasesc in reteaua interna Am doua servere web in interiorul retelei. Cum fac sa fie accessate doar de cine vreau eu. Primul firewall care este si router routeaza un IP catre un server web si alt IP catre alt server web.Daca Introduc ISA Server cum stie routerul sa trimita pachete in reteaua din spatele celui de-al doilea firewall? |
#4
Posted 08 June 2006 - 14:27
Pune te rog daca se poate topologia retelei si IP-urile asignate pe toate interfetele de la ISA si Linux.
|
#5
Posted 09 June 2006 - 08:32
Am adaugat o mica schema, sper sa se inteleaga ceva din ea si ce vreau eu sa aflu. Si inca ceva, am nevoie de licente ISA Server pt fiecare calculator din retea?
Attached Files |
#6
Posted 09 June 2006 - 10:28
Cel mai simplu pentru tine este sa definesti 2 obiecte de tip Networks.Una sa fie Internal si sa cuprinda subnetul 192.168.1.0 (alegi add adapter si selectezi interfata respectiva) si cealata sa fie sa zicem DMZ, care cuprinde subnetul 192.168.0.0.
Apoi definesti o relatie de tip Route intre Internal-DMZ. Apoi pentru inceput definesti o regula de tip Allow All intre Interna-DMZ (pui la Source Internal si DMZ si la Destination la fel Internal si DMZ).Dupa ce vezi ca merge poti sa restrangi aceasta regula Avand o relatie de tip route nu trebuie sa faci port forwarding pentru ati publica serverele in extern (presupun ca asta oricum o face Linuxul). |
#7
Posted 09 June 2006 - 14:52
am facut ce mi-ai spus dar nu merge...
mai trwebuie sa tin cont de ceva? o setare care mi-a scapat... |
#8
Posted 09 June 2006 - 15:28
Ce nu merge mai exact?
Ia-le pe rand usor si vedem ce nu merge. 1.Da un ping de pe ISA pe Linux (192.168.0.1) si vezi daca ai reply 2.Din de pe Linux pe 192.168.1.1 (Interfata dinspre retea de la ISA).Vezi daca ai reply 3.Ping de pe o statie pe 192.168.0.1.Vezi daca ai reply. Revino cu rezultatele testului. |
#9
Posted 11 June 2006 - 16:30
De pe ISA merge ping-ul catre linux. De pe linux(192.168.0.1) catre 192.168.1.1 nu merge, am urmarit sa vad unde se duc pachetele si am vazut ca merg in internet. Aveam Internet in retea.Am facut routare intre Internal si DMZ, regula de acces cu "All outbound traffic" de la Int si DMZ catre Int. si DMZ. Mai trebuie sa fac si NAT intre Internal si External?
M-am gandit ca ar fi mai simplu daca imi poti trimite o configurare pt ISA, o import si fac modificarile necesare pt reteaua mea. In linux am redirectionat pachetele care vin de la un server din exterior catre un server intern 192.168.1.2 si nu merge. Trebuie sa public serverul intern pe isa si sa fac redirectarea catre isa server(192.168.0.2)? Multumesc |
#10
Posted 11 June 2006 - 20:26
Pai este si normal ca nu merge nimic momentan,pachetele tale catre subnetul 192.168.1.0 se duc prin gateway adica in Internet.Trebuie sa definesti o ruta statica pe Linux prin care sa-i zici ca tot ce este destinat catre 192.168.1.0 sa iasa prin 192.168.0.1.
Apoi verifica din nou pingul catre 192.168.1.1 |
|
#11
Posted 11 June 2006 - 22:38
am definit o ruta ca toate pachetele destinate 192.168.1.0 sa foloseasca 192.168.0.1 si gateway 192.168.0.2 dar degeaba, tot in internet se duc pachetele. In linux pare mai greu sa fac asa ceva :(
|
#12
Posted 12 June 2006 - 08:31
fiara13, on Jun 11 2006, 23:38, said: am definit o ruta ca toate pachetele destinate 192.168.1.0 sa foloseasca 192.168.0.1 si gateway 192.168.0.2 dar degeaba, tot in internet se duc pachetele. In linux pare mai greu sa fac asa ceva :( Nu stiu mai nimic pe Linux dar dupa o cautare pe Google eu zic ca asta e sintaza: ip route add 192.168.1.0/24 via 192.168.0.1 Si ca sa o faci persistenta: echo "ip route add 192.168.1.0/24 via 192.168.0.1" >> /etc/rc.local |
#13
Posted 12 June 2006 - 09:02
pun si eu o intrebare: la ce faci dmz daca nu pui nimic inauntru?
later...si inca una: ce fel de firewall folosesti? chekpoint, iptables...? problema e se pare la linux, nu la ISA, daca ai facut ce-a zis muntos.... Edited by DeathRipple, 12 June 2006 - 09:06. |
#14
Posted 12 June 2006 - 09:17
DeathRipple, on Jun 12 2006, 10:02, said: pun si eu o intrebare: la ce faci dmz daca nu pui nimic inauntru? later...si inca una: ce fel de firewall folosesti? chekpoint, iptables...? problema e se pare la linux, nu la ISA, daca ai facut ce-a zis muntos.... Poate sa defineasca subnetul 192.168.0.0 ca o alta retea denumita DMZ,sau putea doar sa schimbe Internal - Extern in Route din NAT. |
#15
Posted 12 June 2006 - 16:36
folosesc un firewall iptables.
Am pus un calculator cu win XP intre cele doua firewall-uri pe care am trecut route add 192.168.0.0 mask 255.255.255.0 192.168.1.2 ... si a mers ping-ul catre 192.168.1.0... era si normal ramane sa rezolv routarea pe linux... inca ma documentez multumesc pt ajutor :) |
|
#16
Posted 13 June 2006 - 11:18
eu sunt mai batut in cap si nu pricep repede, d-aia am intrebat. in tipul de arhitectura schitat de el, de obicei in dmz intra serverele de email (macar ca de numa' un simplu relay de la un intern, pt protectie sporita), de nume etc... iar prin isa controlezi accesul utilizatorilor la servicii, faci restrictii la nivel de porturi, aplicatie etc...masura de protectie suplimentara pt atacurile din exterior....mici, pizza, chestii d-astea :)
|
#17
Posted 14 June 2006 - 16:37
Acum merge, era de la linux.
Dar am observat ca nu se conecteaza yahoo messenger si mail si daca accesez site-uri https:// (port 443) nu merge. Pt. asa ceva ce mai trebuie sa fac ca m-am uitat peste tot si nu am vazut ceva legat de https c-ar fi blocat. |
#18
Posted 14 June 2006 - 19:13
Mergi in Monitoring -> Logging si vezi ce anume iti apare cand incerci sa accesezi https sau Yahoo Msg.
|
Anunturi
Bun venit pe Forumul Softpedia!
▶ 0 user(s) are reading this topic
0 members, 0 guests, 0 anonymous users