Jump to content
Sign in to follow this  
Crockett

ISA Server 200o Port routen

Recommended Posts

Hallo !

 

Ich habe hier den ISA SERVER 2000 unter Windows 2000 Server

laufen.

Nun möchte ich den Port 1352 freigeben für eine bestimmte IP Adresse die aus dem Internet kommt (fixe IP). Irgendwie bekomme ich es nicht hin das der Port 1352 von außen für die bestimmte IP erreichbar ist. Dieser Port soll dann geroutet werden auf einen Server der sich im gleichen lokalen NETZ befindet wie der ISA.

 

Weiß jemand wie und wo ich dieses beim ISA freischalten/routen muss ?

 

THX !

 

Christian

Share this post


Link to post

@ grizzly999

 

Danke für den Tipp. Werde es morgen gleich probieren.

Sorry für den Doppel Eintrag. Dachte der erste Post wäre im falschen Forum / Bereich. Und es eilt sehr mit der Lösung, da unserer MailServer steht :-) Da kommt die Chefetage immer gut drauf klar !

 

THX !

 

Christian

Share this post


Link to post

@ grizzly999

 

Das mit der Anleitung zum veröffentlichen hat wohl gut geklappt. Nur jetzt das Problem. Ich muss ihm beim veröffentlichen die externe IP des ISA Servers geben. Da ich über eine DFÜ Verbindung DSL die Internet Verbindung herstelle, ändert sich die IP bei einer Neueinwahl. Dann funktioniert der veröffentlichte Server nicht mehr,da die Regel noch die alte INET IP intus hat.

Gibt es hierfür einen Trcik , das er die automatisch aktualisiert ?

 

 

THX !

 

Christian

Share this post


Link to post

Diese Option wird von ISA 2000 nicht unterstützt :(

Vielleicht mit Stingray (ISA 2003), weiss ich aber nicht. Es gibt ein Script, dass ich mangels dyn. IP am ISA noch nicht eingesetzt habe unter http://www.isatools.org/, dort ISA_IP_Refresh.vbs.

Ich weiss deshalb auch nicht,w as es genau macht, müsstest du dir anschauen.

Oder den ISA hinter einen DSL-Router oder Rechner mit DSL-Anschluss setzen, damit er eine fixe externe IP hat.

 

grizzly999

Share this post


Link to post

@ grizzly999

 

ich habe jetzt einen kleinen DSL Router vorgeschaltet. Somit habe ich als EXTERNE Schnittstelle nun die IP der 2. NIC im ISA Server. Im DSL Router habe ich die DMZ für die 2. NIC im ISA registriert, das alle Anfragen an den ISA durchgepumpt werden.

Ist das richtig so ? Sicherheits technisch dürfte es egal sein, da ja die Firewall auf dem ISA läuft oder irre ich mich da ?

 

 

Gruß

 

 

Christian

Share this post


Link to post
ich habe jetzt einen kleinen DSL Router vorgeschaltet. Somit habe ich als EXTERNE Schnittstelle nun die IP der 2. NIC im ISA Server

Oh, das will mir schon viel besser gefallen :D

 

Ja, alle Anfragen an den ISA schicken, das ist möglich, der ist ja dafür da, auszufiltern, wobei ich immer nur das am Router nach innen lasse, was wirklich rein muss, z.B. Port 25 oder 80 oder 1723.... Dann hat man einen vorgeschalteten Filter, das erhöht die Sicherheit ein wenig, und der ISA muss nicht unbedingt so viele Attacken aushalten.

Wichtig: ind er LAT darf die externe NIC natürlich nicht drinstehen.

 

grizzly999

Share this post


Link to post

@ grizzly999

 

Funktionieren tut das wohl. Ein Port Scan gegen die Internet IP meines Routers ergibt jetzt aber erschreckende Ergebnisse.

Beim ISA Server sind jetzt ohne Ende Ports offen, die vorhher bei der Wählverbindung nicht offen waren. In der LAT steht die IP der 2. NIC nicht drin sondern nur die 1.NIC.

 

Was kann jetzt schiefgelaufen sein ?

 

Gruß

 

Christian

Share this post


Link to post
Original geschrieben von Crockett

@ grizzly999

 

Funktionieren tut das wohl. Ein Port Scan gegen die Internet IP meines Routers ergibt jetzt aber erschreckende Ergebnisse.

Beim ISA Server sind jetzt ohne Ende Ports offen, die vorhher bei der Wählverbindung nicht offen waren. In der LAT steht die IP der 2. NIC nicht drin sondern nur die 1.NIC.

 

Was kann jetzt schiefgelaufen sein ?

 

Gruß

 

Christian

Der Portscan war aber schon von extern aus an den ISA?

Dann dürften keine Ports offen sein, ausser den veröffentlichten.

Hast du nach Einbau der zweiten NIC den ISA neu konfiguriert oder neu aufgesetzt?

 

grizzly999

Share this post


Link to post

@grizzly999

 

Der Portscan war von außerhalb. Port sind auch nun dicht.

Nur der Proxy Port íst laut http://scan.sygatetech.com (Stealth Scan) noch offen. Kann man dieses auch abestellen ?

 

Der Server hatte ich neu aufgesetzt nach Einbau der 2. NIC.

 

 

Gruß

 

Christian

Share this post


Link to post

@ grizzly999

 

Bei dem Stealth Scan hat er angezeigt das der Proxy auf Port 8080 auf die Anfrage geantwortet hat.

 

wie ich gerade festgestellt habe ist es auch so das von jedem Client aus der ein GATEWAY und DNS Eintrag drin hat auch Mails über POP3 abgerufen werden kann. Dieses sollte eigentlich nicht so sein. Die ISA Installation ist noch eine Standard Installtion und es ist nichts verändert worden bis auf eine Server Veröffentlichung und eine Protokolldefinition für die Veröffentlichung.

Der ISA sollte doch in der Grundinstallation erstmal alles blocken was nicht über den WebProxy läuft oder sehe ich ich das falsch ?

 

Fragen über Fragen !

 

THX

 

Christian

Share this post


Link to post

Der ISA ist direkt nach dem Aufsetzen dicht wie ein Panzerschrank. Im Ernst!

Weder vom internen Netz, noch vom ISA selber geht irgendwas nach draussen durch, und schon gar nichts nach innen. Nur so kenne ich das.

Eine Lösung für das Problem habe ich mangels Ursache auch nicht => nochmals Neuinstallation. Ich würde auch nicht versuchen, was dran zu schrauben und hinzudrehen. Wenn der ISA aus unerklärlicher Ursache nicht dicht ist, traue ich ihm keine 5 Sekunden mehr, auch wenn man es "hinbiegen" würde.

 

grizzly999

Share this post


Link to post

@grizzly999

 

Ok, nur das ich keine Fehler grundlegend gemacht habe, nochmal die Config im ganzen :

 

DSL ROUTER hängt am DSL Modem und ist mit einem Netzwerkkabel direkt an der 2. NIC des ISA angeschlossen. DSL Router ist DMZ(für 2-NIC am ISA) aktivert und sonst nix.

 

Den ISA Server habe ich als Standard Installation installiert.

Direkt nach der Installation kam ein Wizard für die Config, den habe ich immer mit weiter bestätigt bis auf die Frage nach dem Client Satz. Dort habe ich dann das kompl. interne IP Netz eingetragen. (192.168.1.1 - .254). Unter dem Punkt ISA Server sichern habe ich dann die oberste Option (alleinstehender Firewall Server gewählt) Dann hat er ein paar Minuten gearbeitet und wollte dann einen Neustart.

 

Von jedem Client aus der nun auch ein DNS(t-online) und GATEWAY drin hat (weist auf die IP der 1. NIC des ISAs

kann nun POP3 und SMTP genutzt werden und auch ohne Proxy gesurft werden, das ist ja nicht normal.

 

Ist bei der Config grundlegend ein Fehler drin, wenn nicht, setze ich das Ding nochmal auf.

 

 

tHX !

 

Christian

Share this post


Link to post

Nein, ich sehe jetzt so keinen Fehler. Du kannst aber das nächste mal den integrierten Modus wählen, dann cacht er auch aus dem I-Net geholte Inhalte zwischen. Der Wizard verlangt dann zusätzlich die Angabe eines Cache-Verzeichnisses und der Cache Größe (braucht nicht riesig zu sein).

 

 

grizzly999

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...