Re: Webveröffentlichungsregel...
- From: "Jörg Vosse" <vorn.nachn@xxxxxx>
- Date: Thu, 12 Jan 2006 20:48:14 +0100
Hi Rico,
> Ich kann vom ISA die Seite schonmal gar nicht aufrufen! Namensauflösung
> klappt.
Dann gibts schon ein generelles Problem. Um vom ISA auf den Webserver zu
kommen musst Du übergangsweise eine Regel erstellen die von lokaler Host zum
Webserver HTTP zulässt. Dann die Webseite aufrufen. Wenn das klappt, kann
der ISA mit dem Webserver kommunizieren. Das hat nichts mit NETBIOS zu tun!!
> Ich kann im Log des ISA folgendes erkennen, wenn ich vom ISA-Rechner im IE
> die Seite aufrufe:
> #Anfrage von meiner Client-IP(ISA-Rechner) an die Ziel-IP(Webserver) -->
> ist
> i.O.!!!
Oben sagtest Du doch nicht OK??
> #Protokoll: NetBios-Sitzung
Das Protokoll sollte HTTP sein beim Zugriff auf einen Webserver. Nicht
Netbios-Sitzung!
> #Regel: NetBios von ISA-Server an vertrauenswürdige Server zulassen
> #Quellnetzwerk: Lokaler Host
> #Zielnetzwerk: Intern
> --> soweit klingt das erstmal ganz gut für mich, ABER:
>
> Für diesen Vorgang des Aufrufs existieren 2 Protokolleinträge mit exakt
> der
> gleichen Zeit und den Werten wie oben beschrieben. Beim ersten Eintrag
> steht
> bei Aktion:"Initiierte Verbindung" und beim zweiten steht bei
> Aktion:"getrennte Verbindung"!!! Das ist schon merkwürdig. Wieso versucht
> der
> ISA die Seite aufzurufen, jedoch im gleichen Moment wird die Verbindung
> wieder getrennt???
Das ist völlig normal. Der ISA ist eine Statefull Inspection Firewall. In
dem Fall bedeutet das Statefull, dass der ISA eine Verbindung initiert (1.
Eintrag), diese in eine Tabelle schreibt (um sich den Verbindungsaufbau zu
merken) und dann die Verbindung trennt (damit die Verbindung nicht während
der ganzen Zeit geöffnet bleibt und so eine Angriffsfläche bietet). Wird nun
die Verbindung zwischen dem Client und Server wieder aufgenommen schaut der
ISA in seine Tabelle, sieht das die Verbindung schomal geöffnet wurde und
somit vertrauenswürdig ist und initiert die Verbindung wieder.
Bei der Kommunikation zwischen zwei Hosts (Client PC und Server
beispielsweise) wirst Du immer initiierte Verbindungen und getrennte
Verbindungen sehen, das ist völlig OK und soll so sein. Wenn dort stände
VERWEIGERTE Verbindung, dann stimmt mit der Regel am ISA etwas nicht, denn
der ISA verweigert die Verbindung, diese ist also nicht explizit
freigegeben.
Nochmal:
Gib mal die externe IP und wo ist die Eingetragen (muss, wenn der ISA im
Internet hängt an der Netzwerkkarte definierte sein, die ans Internet
angeschlossen ist).
Dann musst Du eine Serververöfentlichung erstellen:
Name angeben
ServerIP angeben
HTTP-Server als Protokoll angeben
NETZ EXTERN auswählen und da ambesten direkt die externe IP angeben (auf
diese horcht der ISA nun nach Anfragen auf HTTP)
Fertig
TESTEN
Gruß
Jörg
.
- References:
- Re: Webveröffentlichungsregel...
- From: Jörg Vosse
- Re: Webveröffentlichungsregel...
- From: Rico Hallbauer
- Re: Webveröffentlichungsregel...
- Prev by Date: Re: problem beim aufruf von https seiten
- Next by Date: Re: FTP Zugriff über ISA 2004
- Previous by thread: Re: Webveröffentlichungsregel...
- Next by thread: problem beim aufruf von https seiten
- Index(es):
Relevant Pages
|
