Re: [ISA 2004] transparenter Proxy

From: Kai Wilke [MVP] (kw_at_n-o-s-p-a-m.itacs.de)
Date: 02/23/05

• Next message: Jens Baier: "Re: ISA2004 + SSL Problem (timeout)"
• Previous message: Uwe Schroeder: "Re: VPN Berechtigungen für Datei und Drucker Freigaben"
• In reply to: Thomas Wildgruber: "Re: [ISA 2004] transparenter Proxy"
• Next in thread: Thomas Wildgruber: "Re: [ISA 2004] transparenter Proxy"
• Reply: Thomas Wildgruber: "Re: [ISA 2004] transparenter Proxy"
• Messages sorted by: [ date ] [ thread ]

---

Date: Wed, 23 Feb 2005 16:36:38 +0100

Hi Thomas,

> Input -i eth0 -t tcp -s $LOC-NET -d 0/0 -p 80 ACCEPT
> Input -i eth1 -t tcp -d $LOC-NET -s 0/0 -p 80 ACCEPT !y
>
> Das '!y' steht für no SYN, was heisst, dass jeder TCP Port 80 Traffic von
> draussen nach drinnen passieren darf *ausser* Versuche des

Ohh, du solltest mal ne neuen Kernel Version ausprobieren und NETFILTER
anstelle von IPCHAINS verwenden. Das Filtern auf TCP Flags war bei IPCHAINS
noch notwendig (war jedoch ein Sicherheitsproblem) da die Paketfilter noch
keine Steful Packet Inspection (SPI) unterstützte. Bei NETFILTER und jeder
anderen FW auch würde die Firewallengine die Anfragen und Antworten zu einer
Sitzung zusammenfassen. Hierbei wird automatisch sichergestellt das sich
keinerlei Pakete "ohne" vernünftigen 3-Wege handshake vorher durchlaufen zu
haben durch die FW mogelt.

http://iptables-tutorial.frozentux.net/iptables-tutorial.html#STATEMACHINE

> Wie aber werden evtl. Versuche eine Verbindung
> von aussen nach innen zu etablieren unterbunden? Kann man das irgendwo
> einstellen bzw. diese Einstellungen überprüfen?

Der ISA Server hat als default einstellung ein deny bzw. drop. Das bedeutet
das alles was durch die FW möchte ersteinmal vom ISA Server geblockt wird.
Bei ISA Server kann man nur ein Connection Timeout für die SPI einstellen,
aber das ist dann auch alles was man benötigt. Die default Werte entsprechen
den RFCs und sollten nicht unbedingt angepasst werden. Überprüfen kannst du
die Sache indem du ein Portscanner verwendest und deinen absender Port auf
bestimmte Lowport begrenzt. (z.B. UDP53 oder TCP80)

Gruß Kai

-- 
Kai Wilke [MVP]
MVP for Security & ISA Server
ITaCS GmbH - www.itacs.de
 

---

• Next message: Jens Baier: "Re: ISA2004 + SSL Problem (timeout)"
• Previous message: Uwe Schroeder: "Re: VPN Berechtigungen für Datei und Drucker Freigaben"
• In reply to: Thomas Wildgruber: "Re: [ISA 2004] transparenter Proxy"
• Next in thread: Thomas Wildgruber: "Re: [ISA 2004] transparenter Proxy"
• Reply: Thomas Wildgruber: "Re: [ISA 2004] transparenter Proxy"
• Messages sorted by: [ date ] [ thread ]

---

Relevant Pages Re: Kann ISA QoS? ... Priorität einstellen>und diese versch. ... Priorität gegenüber Sekretärinnen) Ich kann aber ... dass der ISA Server von meine 2 Mbit ... (microsoft.public.de.german.isaserver) Re: ISA 2004 hinter DSL Router und side-to-side vpn ... die VPN-Verbindungen bleiben normalerweise solange erhalten, ... Hilfe & Infos rund um den ISA Server: http://www.msisafaq.de ... In meinem Testsystem funktioniert das jetzt auch. ... Kann man irgendwo einstellen, dass die vpn ... (microsoft.public.de.german.isaserver)

---

We are proud to have Web Hosting and Rack Housing from 9 Net Avenue Deutschland.
(18)