Jump to content
Sign in to follow this  
ads2k

ISA2K4 Proxyverständnisfragen

Recommended Posts

Hallo,

ich habe in einer Testumgebung folgendes Szenario erfolgreich aufgebaut.

1. Windows2003 Standardserver PDC, DNS, DHCP

2. Windows2003 Standardserver ISA 2004

3. Hardwarerouter für DSL Einwahl.

Der ISA Server fungiert dabei als Edgefirewall, der Router macht NAT auf

die externe Schnittstelle des ISA´s für das Protokoll SMTP.

Der ISA Server hat eine veröffentlichung auf den Testweise (später exchange) IIS SMTP Server (PDC).

Ich kann von ausserhalb per Telnet Port 25 auf die mx addresse zugreifen.

Dann habe ich noch ein paar Filterregeln für intern -> extern HTTP HTTPS FTP DNS PPTP Passthrough usw. eingerichtet, funktioniert auch alles perfekt.

 

Punkt 1:

Schwierigkeiten machte es mir erstmal den ISA als Memberserver zu definieren da das joinen zur domain erst klappte als ich (hier irgendwo gelesen) das häckchen für RPC-Filter entfernt habe und folgenden Filter gesetzt habe:

intern -> local host alles zulassen

local host -> intern alles zulassen

local host ? hiermit ist der ISAServer selbst gemeint?!?

Memberserver wegen VPN da ich mich mit Radiusservern erst noch ausseinander setzten muss.

Ist diese Konfiguration kritisch?

 

Punkt 2:

Ein Proxy ist für mich ein Cacheserver der Website Inhalte speichert oder sperrt, oder hat der noch eine andere Funktion?

Paketfilter hat ja nicht wirklich was mit Proxy zu tun sondern ist ja auch wieder ne eigene Funktion, oder?

 

Punkt 3:

Was mich an der Konfiguration irritiert ist, das ich sowohl ohne Proxy im IE als auch mit Proxy eintrag surfen kann, gibts da irgendeine Policy in der ich definieren kann das nur über den Proxy HTTP funktioniert?(mit Einstellungen IE).

 

Wäre super wenn jem. was dazu schreiben könnte.

Danke!

Share this post


Link to post
Share on other sites

Ganz schön viele Fragen, ich picke mir die einfachsten raus :D

 

local host ? hiermit ist der ISAServer selbst gemeint?!?

Ja, alle NICs des ISA zählen zum local host

 

Memberserver wegen VPN da ich mich mit Radiusservern erst noch ausseinander setzten muss.

Ist diese Konfiguration kritisch?

Jaein. Der ISA ist ja auch von innen her ziemlich dicht. Wer dennoch einen Domänen-Adminaccount hat oder knackt (von innen), der hat ganze gute Chancen den ISA von innen zu steuern.

Wenn der ISA von außen geknackt wird, ist man halt schon mal auf einem Rechner in der Domäne.

Wenn's dich beruhigt, mein Array ist auch seit langem in der Domäne, und bei vielen anderen auch .... ;)

 

Ein Proxy ist für mich ein Cacheserver der Website Inhalte speichert oder sperrt, oder hat der noch eine andere Funktion?

Ein Proxy hat zunächst die Aufgabe anstelle des Clients Inhalte aus em Internet abzurufen, das ist nämlich die ursprüngliche Bedeutung des Wortes (Stellvertreter, im Sinne von MIttelsmann). Dabei bleiben die Client-Adressen und *Namen nach außen hin verborgen. zusätzlich kann man bei den meisten auch stuern, wer überhaupt darf, und inzwichen auch HTTP Verkehr inhaltlich filtern.

 

Paketfilter hat ja nicht wirklich was mit Proxy zu tun sondern ist ja auch wieder ne eigene Funktion, oder?

Korrekt, das ist Aufgabe einer Firewall, aber das kann der ISA auch :)

 

Was mich an der Konfiguration irritiert ist, das ich sowohl ohne Proxy im IE als auch mit Proxy eintrag surfen kann,

Das eine ist der WebProxyClient, das andere ein SecureNat-Client. Bevor ich das in vielen Worten erkläre, das haben andere auch schon getan, z.B: MVP-Kollege Dieter Rauscher:

http://www.msisafaq.de/Anleitungen/2004/Grundlagen/index.htm

 

Dort auf der Site gibts auch noch ne Menge mehr

 

gibts da irgendeine Policy in der ich definieren kann das nur über den Proxy HTTP funktioniert?(mit Einstellungen IE).

Nicht direkt, aber man kann die HTTP/HTTPS-Rules für bestimmte Benutzer bzw. Gruppen machen anstelle von "Alle Benutzer", dann geht's nur noch mit dem Eintrag im Browser (=WebProxyClient) ;)

 

grizzly999

Share this post


Link to post
Share on other sites

Hi Grizzly,

erstmal vielen Dank für die Antwort.

Was mich jetzt doch ein wenig verunsichert ist:

Local Host sind alle Schnittstellen des ISA´s.

Bedeutet aber jetzt nicht das wenn ich folgende Regel habe (wegen ADS)

Intern -> Local Host [alles erlauben]

Local Host -> Intern [alles erlauben]

Das alle Clients über alle Ports/Protokolle ins Internet zugriff haben, es besteht

schon noch ein Unterschied zwischen Netzwerk extern und Local Host , oder??

Das meinte ich eher mit der Konfig (is ja nur so wegen Memberserver).

(Kritisch)?

 

2. Frage (Proxy)

Selbst wenn ich keinen Proxy im IE eintrage stellt die Anfrage doch der ISA wenn dieser Standardgateway ist, wäre doch dann wieder eine NAT Beziehung wie beim Hardware Router, man könnte fast sagen ein normale Hardwarerouter wäre dann auch ein Proxy, oder würfel ich gerade so alles durcheinander, weil der router nur eine weiterleitung macht und die eigentlich Anfrage vom Client gestellt wird? ;))

Oje oje.

Share this post


Link to post
Share on other sites
Das alle Clients über alle Ports/Protokolle ins Internet zugriff haben, es besteht

schon noch ein Unterschied zwischen Netzwerk extern und Local Host , oder??

Ja, es besteht natürlich ein Unterschied, und das Internet ist "Extern", nicht "Local Host", und damit kommen bei der Regel die Rechner auch nicht ins Internet.

 

2. Frage (Proxy)

Selbst wenn ich keinen Proxy im IE eintrage stellt die Anfrage doch der ISA wenn dieser Standardgateway ist, wäre doch dann wieder eine NAT Beziehung wie beim Hardware Router, man könnte fast sagen ein normale Hardwarerouter wäre dann auch ein Proxy, oder würfel ich gerade so alles durcheinander, weil der router nur eine weiterleitung macht und die eigentlich Anfrage vom Client gestellt wird? )

Oje oje.

Im eigentlichen Sinne ist ein Router, der NAT macht, ein Proxy, das ist richtig. Nur bene hat der Proxy im Laufe der Zerit noch andere "Features" dazu bekommen, wie z.B. eben die Zugriffssteuerung oder das Cachen von Inhalten, die aus dem Internet abgerufen werden.

 

grizzly999

Share this post


Link to post
Share on other sites

Also einen kleinen Unterschied gibt's da schon noch zwischen einem normalen NAT und einem Proxy.

 

Der Proxy überstzt nur Webverkehr wie HTTP, FTP, Gopher oder Scocks 4 und 5 kompatible Anwendungen. NAT übersetzt aber wirklich alles, in Abhängigkeit zu den NAT-Rules.

Share this post


Link to post
Share on other sites

@Velius, du meinst er macht nur NAT bei Protokollen wie HTTP usw.?

Wenn der ISA ne Edgefirewall ist, dann macht der ISA doch grundsätzlich zwischen NIC

Intern und Extern NAT, oder? Anders wäre es bei einem 1 NIC ISA, oder?

Sprich ISA als Edge und dahinter HW Router

ist bei allen Protokollen doppel NAT sozusagen, oder?

Share this post


Link to post
Share on other sites
@Velius, du meinst er macht nur NAT bei Protokollen wie HTTP usw.?

Wenn der ISA ne Edgefirewall ist, dann macht der ISA doch grundsätzlich zwischen NIC

Intern und Extern NAT, oder? Anders wäre es bei einem 1 NIC ISA, oder?

Sprich ISA als Edge und dahinter HW Router

ist bei allen Protokollen doppel NAT sozusagen, oder?

Ja, genaugenommen hat Velius recht, und du auch. Der ISA nattet im Standardfall allen Verkehr, aber deshal, weil er neben dem Proxy ja auch eine Firewall drin hat. Und wie du schon richtig sagtest, mit nur einer NIC wäre er jetzt reiner, echter Proxy und würde nur HTTP HTTPS und FTP (über Browser) proxien und natten.

 

grizzly999

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...