Re: DNS ausgehend mit verweigerten Paketen.

Hallo Gernot,

Allerdings: Normalerweise benötigt man für eine "DMZ nach Extern"-Regel
KEINE korrespondierende Regel für "Outside-in". Man hat doch auch für den
HTTP Zugriff auch nur eine Inside-Out Regel.
Es wird von Extern Port 53 auf intern Port z.B. 4017 verweigert.
Das ist also die Antwort von draußen auf meine Anfrage von drin.

Normal nicht, das sollte auch so gehen, zumal es einen DNS-Filter in ISA
gibt. Außerdem hab ich die gleiche konstellation nur mit privaten IPs.

Ich könnte mir höchstens vorstellen, dass etwas mit den Netzwerkbereichen
der DMZ nicht stimmt, z.B. falsche Subnetzmaske usw..

Gruß

Christian
--
Christian Gröbner
MVP ISA Server
Hilfe & Infos rund um den ISA Server: http://www.msisafaq.de !!!!

NEU !!! Das Handbuch zum ISA 2006 - http://www.msisafaq.de/buch/

"Gernot Meyer" <GernotMeyer@xxxxxxxxxxxxxxxxxxxxxxxxx> schrieb im
Newsbeitrag news:0B393948-5EA4-45D6-8AAE-C967E7B37BC5@xxxxxxxxxxxxxxxx
Hallo Christian,

auf beide Fragen Ja.

Allerdings: Normalerweise benötigt man für eine "DMZ nach Extern"-Regel
KEINE korrespondierende Regel für "Outside-in". Man hat doch auch für den
HTTP Zugriff auch nur eine Inside-Out Regel.
Es wird von Extern Port 53 auf intern Port z.B. 4017 verweigert.
Das ist also die Antwort von draußen auf meine Anfrage von drin.

Danke und Gruß
Gernot

"Christian Gröbner [MVP]" wrote:

Hallo Gernot,

hast du eine REgel die das Protokoll von Extern nach DMZ-DNS-SErver
erlaubt
und verwendest du in der DMZ öffentliche IP-Adressen?

Gruß

Christian

--
Christian Gröbner
MVP ISA Server
Hilfe & Infos rund um den ISA Server: http://www.msisafaq.de !!!!

NEU !!! Das Handbuch zum ISA 2006 - http://www.msisafaq.de/buch/

"Gernot Meyer" <GernotMeyer@xxxxxxxxxxxxxxxxxxxxxxxxx> schrieb im
Newsbeitrag news:35ED9CA4-8032-4CE7-A9A7-B144C384B9C8@xxxxxxxxxxxxxxxx
Christian,

nö. Zonentransfer käme danach.
Leider funktioniert schon der einfache nslookup bzw. dns request nicht.


"Christian Gröbner [MVP]" wrote:

Hallo Gernot,

dein DNS-Server in der DNZ kann erfolgreich DNS-Anfragen an einen
anderen
DNS-Server weiterleiten, also ganz normale DNS-Abfrage machen. Nur ein
Zonentransfer funktioniert nicht?
Wenn ja, dann liegt das daran, dass du keinen Zonentransfer erlaubst.

Zunächst brauchst du eine Regel die vom externen DNS-Server zum
DNS-Serve
rin der DMZ das Protokoll DNS erlaubt.
Dann musst du unter:
Konfiguration
->Allgemein
->Erkennung von Eindringversuchen und DNS-Angriffen aktivieren
->DNS-Angriffe

den DNS-Zonentransfer erlauben.

Gruß

Christian
--
Christian Gröbner
MVP ISA Server
Hilfe & Infos rund um den ISA Server: http://www.msisafaq.de !!!!

NEU !!! Das Handbuch zum ISA 2006 - http://www.msisafaq.de/buch/

"Gernot Meyer" <GernotMeyer@xxxxxxxxxxxxxxxxxxxxxxxxx> schrieb im
Newsbeitrag news:51E684A7-8F46-4D1E-A9AC-F912A8971F92@xxxxxxxxxxxxxxxx
Hallo,

ich habe in der DMZ einen DNS Server.
Die DMZ ist via Routing (kein NAT) angebunden.
Eine Array-Regel (ISA 2004 läuft im Cluster) erlaubt die Protokolle
DNS
und
DNS Server zwischen meinem DMZ DNS Server und 'extern'.
Man sieht, dass die Pakete erlaubter Weise raus gehen! Irgendwann
wird
die
Verbindung auf dem ISA Server dann beendet (graceful - also OK).
Wenn man allerdings die Pakete vom externen DNS Server traced (also
extern
nach DMZ) werden die Antwortpakete abgelehnt.
Das Paket auf geht also z.B. raus (von port 4017 nach port 53). Das
funktioniert.
Das Paket will wieder zurück (von port 53 extern nach 4017 intern)
und
wird
abgelehnt.
Es scheint, als wenn stateful inspection nicht 100%ig
funktioniert...

Das Standard DNS Protokoll erlaubt aber UDP senden und empfangen...

HELP...
Danke und Gruß
Gernot








.

Relevant Pages

  • Re: Cant access web on local network server
    ... Yes my Windows 2003 R2 Standard Server is a DC domain controller. ... How do I open DNS for the outside? ... What port should I give access to? ...
    (microsoft.public.windows.server.general)
  • RE: [fw-wiz] Backup exec agent in dmz
    ... named.conf file and the zonefiles off the the NT box in the DMZ. ... on the Apache server, ... backup tape library in this DMZ and backup all your servers to the new DMZ. ... what do you really need to back up on the DNS and web servers? ...
    (Firewall-Wizards)
  • Virtual host "lite"?
    ... redirect an incoming we request based on DNS name, ... "http://webmail.domain.com " will automatically be redirected to port ... fall over and the Boss works out what a "server" is.. ...
    (comp.os.linux.networking)
  • Re: Please help confused iptables user
    ... >> system talk to a remote 22. ... First rule says allow IN anything destined for your IP port 22. ... >> about DNS, asking remote servers if they'll accept your OUTBOUND mail), ... the "remote" DNS server is on the same network, ...
    (comp.security.firewalls)
  • Re: Unable to join AD domain from DMZ network
    ... the server from the DMZ registered the ... unless you lock it down to a specific port. ... authentication from DMZ to 2003 AD internal network. ...
    (microsoft.public.windows.server.active_directory)