Jump to content

ISA Server 200o Port routen


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo !

 

Ich habe hier den ISA SERVER 2000 unter Windows 2000 Server

laufen.

Nun möchte ich den Port 1352 freigeben für eine bestimmte IP Adresse die aus dem Internet kommt (fixe IP). Irgendwie bekomme ich es nicht hin das der Port 1352 von außen für die bestimmte IP erreichbar ist. Dieser Port soll dann geroutet werden auf einen Server der sich im gleichen lokalen NETZ befindet wie der ISA.

 

Weiß jemand wie und wo ich dieses beim ISA freischalten/routen muss ?

 

THX !

 

Christian

Link zu diesem Kommentar

@ grizzly999

 

Das mit der Anleitung zum veröffentlichen hat wohl gut geklappt. Nur jetzt das Problem. Ich muss ihm beim veröffentlichen die externe IP des ISA Servers geben. Da ich über eine DFÜ Verbindung DSL die Internet Verbindung herstelle, ändert sich die IP bei einer Neueinwahl. Dann funktioniert der veröffentlichte Server nicht mehr,da die Regel noch die alte INET IP intus hat.

Gibt es hierfür einen Trcik , das er die automatisch aktualisiert ?

 

 

THX !

 

Christian

Link zu diesem Kommentar

Diese Option wird von ISA 2000 nicht unterstützt :(

Vielleicht mit Stingray (ISA 2003), weiss ich aber nicht. Es gibt ein Script, dass ich mangels dyn. IP am ISA noch nicht eingesetzt habe unter http://www.isatools.org/, dort ISA_IP_Refresh.vbs.

Ich weiss deshalb auch nicht,w as es genau macht, müsstest du dir anschauen.

Oder den ISA hinter einen DSL-Router oder Rechner mit DSL-Anschluss setzen, damit er eine fixe externe IP hat.

 

grizzly999

Link zu diesem Kommentar

@ grizzly999

 

ich habe jetzt einen kleinen DSL Router vorgeschaltet. Somit habe ich als EXTERNE Schnittstelle nun die IP der 2. NIC im ISA Server. Im DSL Router habe ich die DMZ für die 2. NIC im ISA registriert, das alle Anfragen an den ISA durchgepumpt werden.

Ist das richtig so ? Sicherheits technisch dürfte es egal sein, da ja die Firewall auf dem ISA läuft oder irre ich mich da ?

 

 

Gruß

 

 

Christian

Link zu diesem Kommentar
ich habe jetzt einen kleinen DSL Router vorgeschaltet. Somit habe ich als EXTERNE Schnittstelle nun die IP der 2. NIC im ISA Server

Oh, das will mir schon viel besser gefallen :D

 

Ja, alle Anfragen an den ISA schicken, das ist möglich, der ist ja dafür da, auszufiltern, wobei ich immer nur das am Router nach innen lasse, was wirklich rein muss, z.B. Port 25 oder 80 oder 1723.... Dann hat man einen vorgeschalteten Filter, das erhöht die Sicherheit ein wenig, und der ISA muss nicht unbedingt so viele Attacken aushalten.

Wichtig: ind er LAT darf die externe NIC natürlich nicht drinstehen.

 

grizzly999

Link zu diesem Kommentar

@ grizzly999

 

Funktionieren tut das wohl. Ein Port Scan gegen die Internet IP meines Routers ergibt jetzt aber erschreckende Ergebnisse.

Beim ISA Server sind jetzt ohne Ende Ports offen, die vorhher bei der Wählverbindung nicht offen waren. In der LAT steht die IP der 2. NIC nicht drin sondern nur die 1.NIC.

 

Was kann jetzt schiefgelaufen sein ?

 

Gruß

 

Christian

Link zu diesem Kommentar
Original geschrieben von Crockett

@ grizzly999

 

Funktionieren tut das wohl. Ein Port Scan gegen die Internet IP meines Routers ergibt jetzt aber erschreckende Ergebnisse.

Beim ISA Server sind jetzt ohne Ende Ports offen, die vorhher bei der Wählverbindung nicht offen waren. In der LAT steht die IP der 2. NIC nicht drin sondern nur die 1.NIC.

 

Was kann jetzt schiefgelaufen sein ?

 

Gruß

 

Christian

Der Portscan war aber schon von extern aus an den ISA?

Dann dürften keine Ports offen sein, ausser den veröffentlichten.

Hast du nach Einbau der zweiten NIC den ISA neu konfiguriert oder neu aufgesetzt?

 

grizzly999

Link zu diesem Kommentar

@ grizzly999

 

Bei dem Stealth Scan hat er angezeigt das der Proxy auf Port 8080 auf die Anfrage geantwortet hat.

 

wie ich gerade festgestellt habe ist es auch so das von jedem Client aus der ein GATEWAY und DNS Eintrag drin hat auch Mails über POP3 abgerufen werden kann. Dieses sollte eigentlich nicht so sein. Die ISA Installation ist noch eine Standard Installtion und es ist nichts verändert worden bis auf eine Server Veröffentlichung und eine Protokolldefinition für die Veröffentlichung.

Der ISA sollte doch in der Grundinstallation erstmal alles blocken was nicht über den WebProxy läuft oder sehe ich ich das falsch ?

 

Fragen über Fragen !

 

THX

 

Christian

Link zu diesem Kommentar

Der ISA ist direkt nach dem Aufsetzen dicht wie ein Panzerschrank. Im Ernst!

Weder vom internen Netz, noch vom ISA selber geht irgendwas nach draussen durch, und schon gar nichts nach innen. Nur so kenne ich das.

Eine Lösung für das Problem habe ich mangels Ursache auch nicht => nochmals Neuinstallation. Ich würde auch nicht versuchen, was dran zu schrauben und hinzudrehen. Wenn der ISA aus unerklärlicher Ursache nicht dicht ist, traue ich ihm keine 5 Sekunden mehr, auch wenn man es "hinbiegen" würde.

 

grizzly999

Link zu diesem Kommentar

@grizzly999

 

Ok, nur das ich keine Fehler grundlegend gemacht habe, nochmal die Config im ganzen :

 

DSL ROUTER hängt am DSL Modem und ist mit einem Netzwerkkabel direkt an der 2. NIC des ISA angeschlossen. DSL Router ist DMZ(für 2-NIC am ISA) aktivert und sonst nix.

 

Den ISA Server habe ich als Standard Installation installiert.

Direkt nach der Installation kam ein Wizard für die Config, den habe ich immer mit weiter bestätigt bis auf die Frage nach dem Client Satz. Dort habe ich dann das kompl. interne IP Netz eingetragen. (192.168.1.1 - .254). Unter dem Punkt ISA Server sichern habe ich dann die oberste Option (alleinstehender Firewall Server gewählt) Dann hat er ein paar Minuten gearbeitet und wollte dann einen Neustart.

 

Von jedem Client aus der nun auch ein DNS(t-online) und GATEWAY drin hat (weist auf die IP der 1. NIC des ISAs

kann nun POP3 und SMTP genutzt werden und auch ohne Proxy gesurft werden, das ist ja nicht normal.

 

Ist bei der Config grundlegend ein Fehler drin, wenn nicht, setze ich das Ding nochmal auf.

 

 

tHX !

 

Christian

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...