ISA Server - Firewall - Seite 3

renew · 18.09.2003, 13:57

also er wählt sich automatisch ein egal ob ein Benutzer angemeldet ist oder nicht. Jedoch unter einer bestimmten ("beschissenen") Voraussetzung:
Man muss den Aufruf "direkt" an den ISA senden. Sprich, man möchte z.B. eine Webseite ansurfen und der ISA ist als Proxy eingetragen.
Ist er nicht als Proxy eingetragen passiert gar nicht.

Das ist einerseits net so umständlich (wozu hat man den IE - den verwend ich einfach um die Inet-Verbindung zu erstellen) - andererseits wärs mir wenn er das immer macht schon lieber.

Mal schaun, vielleicht find ich noch was, mit dem man das ganze angenehmer machen kann.

stormbringer · 18.09.2003, 18:34

Hi, LLR!

Zitat:

Gestern wars dann anscheinend ein Reboot zu wenig.

Wie war nochmal gleich das Motto vom W95 Lauch ... ? Start me up and shut me down ... ?

NEIN - das soll kein Aufruf zum Flamewar gewesen sein ...

Zitat:

Den Port für die eingehenden Web-Anfragen hab ich schon umgedreht. Er hat aber auch keine "Mucken" gemacht, wie IIS und dieser Port auf 80 war (der IIS hat gewonnen und hat die Webseiten angezeigt...

Ich hatte irrtümlich eine Web-Mail Oberfläche auf Port 80 liegen. Der ISA hat zwar keine wesentlichen Mucken g'macht, allerdings wurden aufgerufene Seiten nur sehr langsam geladen. Seit ich's aufgrund des MS-KNB Artikel auf einen anderen Port verschoben habe funktioniert der Seitenaufbau einwandfrei.

. Betreffend Dial-Up

Hast Du's so gemacht wie unter msisafaq.de beschrieben ... ?

Siehe: http://www.msisafaq.de/Anleitungen/Internet/DialUp.htm

Zitat:

Kazaa hab ich jetzt mal 1214 eingehend und ausgehend auf gemacht

Ich hab' zwar den Kazaa nie verwendet, aber ich vermute mal das dieser so ähnlich funktioniert wie der alte Morpheus. Da bist Du über Port 80 rausgegangen und über Port 1214 ist wieder alles zurückgekommen.

Für den eMule (Donkey) wirst Du dir ein Forwaring auf Deine Workstation einrichten müssen, ansonsten wird Dein Download-ID immer unter aller Sau sein. Steht irgendwo auf der Donkey2000 Seite wie's zu konfigurieren ist.

Zitat:

Die "Serververöffentlichung" ist ja im Prinzip nix anders als ein Port-Forwarding - oder?

Ähm, jein. Normalerweise sollte die Serveröffentlichung ein Dienst sein der am lokalen Server läuft (z.B.: IIS, Exchange, ...). Die Funktion lässt sich jedoch auch als Port-Forwarder verwenden wenn der Server der Veröffentlicht werden soll sich in einer DMZ oder im internen Netz befindet.

Zitat:

Gibts jetzt eine Möglichkeit die Liste mit den Protokollen die verfügbar sind zu bearbeiten?

Ja, Du klickst in der ISA Verwaltungskonsole bei den Protokolldefinitionen einfach auf "Protokolldefinition erstellen" und legst an was auch immer Du haben möchtest.

renew · 18.09.2003, 19:29

Zitat:

. Betreffend Dial-Up

Hast Du's so gemacht wie unter msisafaq.de beschrieben ... ?

Siehe: http://www.msisafaq.de/Anleitungen/Internet/DialUp.htm

natürlich!

Es gibt sogar ein eigenes Tut für DSL - ist aber im Prinzip das gleiche (http://www.msisafaq.de/Anleitungen/I...t/ISA_Tdsl.htm)

Zitat:

Ich hab' zwar den Kazaa nie verwendet, aber ich vermute mal das dieser so ähnlich funktioniert wie der alte Morpheus. Da bist Du über Port 80 rausgegangen und über Port 1214 ist wieder alles zurückgekommen.

Für den eMule (Donkey) wirst Du dir ein Forwaring auf Deine Workstation einrichten müssen, ansonsten wird Dein Download-ID immer unter aller Sau sein. Steht irgendwo auf der Donkey2000 Seite wie's zu konfigurieren ist.

hmm, danke. Werd mal das ausgehen auf 1214 wieder raus nehmen und schaun obs noch immer funkt. Ja, Kazaa ist wie Morpheus früher - beides das FastTrack Network (Morpheus is jetzt bei was anderem)

eMule funkt auch schon, nur eben nur mit einer LowID. Das Portforwarding hab ich auch schon eingerichtet gehabt wie ich nur RRAS verwendet hab.
Drum is auch die Frage mit dem Serververöffentlichen gewesen.

Zitat:

Ähm, jein. Normalerweise sollte die Serveröffentlichung ein Dienst sein der am lokalen Server läuft (z.B.: IIS, Exchange, ...). Die Funktion lässt sich jedoch auch als Port-Forwarder verwenden wenn der Server der Veröffentlicht werden soll sich in einer DMZ oder im internen Netz befindet.

Ja, Du klickst in der ISA Verwaltungskonsole bei den Protokolldefinitionen einfach auf "Protokolldefinition erstellen" und legst an was auch immer Du haben möchtest.

Das hab ich mir eh schon gedacht. Nur hab ich kein definiertes Protokoll gefunden.

Aber jetzt hab ichs schon - in der Liste kann man nur Protokolle wählen, die den Typ "eingehend" haben. Drum hab ich z.B. mein konfiguriertes eDonkey nicht gefunden - weil hier das primäre auf "ausgehend" war - und die anderen Ports als sekundäre Verbindungen eingetragen sind.

Gleich eine Frage dazu: weiß du, wenn ich eine Serververöffentlichung konfigurier, werden dann die sekundären Verbindungen (sprich, die weteren Ports dieses Protokolls) auch weitergeleitet?

Und nochmals danke, jetzt läuft so langsam schon alles. Bis auf das automatische Herstellen der Verbindung wenn man nicht direkt den Proxy anspricht.

stormbringer · 18.09.2003, 19:56

Zitat:

Gleich eine Frage dazu: weiß du, wenn ich eine Serververöffentlichung konfigurier, werden dann die sekundären Verbindungen (sprich, die weteren Ports dieses Protokolls) auch weitergeleitet?

Ich stehe irgendwie auf der Leitung ?-| Was meinst Du mit sekundäre Verbindungen? Die Retourverbindung zum Client ... ?

Ein kurzes Beispiel: Du veröffentlichst einen Mail-Server (POP3 und SMTP).

Wenn ein Rechner von außen nun POP3 auf neue Mail abfrägt, dann kommt die Verbindung von einem High-Port (1023 - 65535) auf den Low-Port 110 deines Server. Die Retourverbindung vom Server zum Client läuft dann genau auf den Ports retour.

Bei Verbindungen von Hi- zu Hi-Port (Terminalserver, ...) läuft die Kommunikation genauso ab - nur ist der Serverport eben jenseits von 1023 angesiedelt.

Da der ISA-Server ein Stateful Inspection durchführt, dürfen prinzipiell Retourverbindugen welche mit einer zuvor aufgebauten ausgehenden Verbindung in zusammenhang stehen auch wieder rein.

Bei FTP darf also neben Port 21 auch Port 20 durch die Firewall. Ansonsten würde FTP nicht wirklich funktionieren.

Hab' ich Deine Frage damit beantwortet, oder ist's zu unverständlich ... ?

[EDIT]

Jetzt hab' ich's geschnallt:

Wenn Du einen Serverdienst veröffentlichst welcher mehr als einen Port benötigt (wie z.B. FTP) dann sollte der ISA das berücksichtigen; sofern es im Rahmen eines Standard-Protokoll liegt oder es entsprechend Benutzerdefiniert wurde.

[/EDIT]

renew · 18.09.2003, 20:13

jein!

Das was du geschrieben hast ist mir klar.

Und ich denke, ich hab auch die Antwort auf meine Frage schon in der ISA-Hilfe gefunden; bzw. deckt sich das mit dem was du gerade gesagt hast.

Man kann am ISA ja bei benutzerdefinierten Protokolldefinitionen sekundäre Verbindungen angeben.
z.B. läuft der Emule-Client über die Ports 4662 und 4661 (ich weiß das is der Server, aber wurscht...)
od. lass ich ICQ auf einem Rechner auf den Port 5050-5054 auf einkommende File-Transfers lauschen.

Jetzt wollt ich wissen, ob, wenn man z.B 5050 als eingehend konfiguriert und die ports 5051-5054 als sekundäre Ports für eingehende Kommunikation definiert diese dann auch gleich bei der Serververöffentlichung gemappt werden.
Sprich die Ports 5050-5054 werden weiter geleitet.

Aber jetzt bin ich schon drauf gekommen, dass zuerst Kommunikation auf Port 5050 statt finden muss, damit weiters Kommunikation auf den "sekundären Ports" durch die Firewall kommt.

Also hab ich jeden Port als "eigenes" Protokoll definiert.

Detto bei eMule - und das funkt auch schon mit einer Hi-ID.

Das einzige Problem was ich bei der Serververöffentlichung hab ist, dass hier als externe IP immer die gleiche eingetragen bleibt.
Sobald ich mich aber neu einwähle hab ich eine neue IP und ich denk mir, dass dann die Veröffentlichung nimmer funken wird.
Habs noch nicht getestet, werd ich aber gleich machen.

So gerade getestet (drum hast posten ein wenig länger gedauert): und meine Befürchtung ist wahr.
Der ISA wird dann einfach die Packeln ignorieren, weil sie nicht mit der eingetragenen IP übereinstimmen und somit nicht mehr weiter leiten.
Mahh..... (da muss doch was geben, was das behebt - oder

)

stormbringer · 18.09.2003, 20:25

Ok, war etwas dumm erklärt aber es war genau das richtige Gemeint.

Hätte allerdings noch dazuschreiben können das zuerst die Kommunkation auf dem Primären Port stattfinden muss bevor die Sekundären zum Zuge kommen können.

Zitat:

Das einzige Problem was ich bei der Serververöffentlichung hab ist, dass hier als externe IP immer die gleiche eingetragen bleibt.

Kann ich mir allerdings nicht so wirklich vorstellen das der ISA mit einer dynamischen IP-Konfiguration nicht umgehen kann.

Ich hab' zwar keinen Schimmer von den T-DSL Zugängen in .de, aber ich denke mal das die auch immer eine dynamische IP zugeordnet bekommen werden. Würde es der ISA nicht können, müsste es doch irgendwo dokumentiert sein.

Ich werde mal versuchen dem Thema auf den Grund zu gehen und Dir wieder ein paar Zeilen zukommen lassen ... mal sehen was sich so an Info aus dem Netz ausgraben läßt; bisher hatte ich es noch nicht mit einer sich ändernden Verbindung zu tun.

renew · 18.09.2003, 20:34

Mich würde es auch wundern.

Und T-DSL in Deutschland wird denke ich nciht viel anders sein als ADSL von Post und Co.

Denn es ist zwar keine 100%ig professionelle Lösung, wenn man eine dynamische IP Adresse hat.
Aber ich denke, dass der ISA genauso auf kleine Firmen abzielt, die genau sowas haben.

Weil bis jetzt hat ers nicht überissen. (eingetragen x.x.148.151, die aktuelle die ich hab is x.x.156.91)

Ich werd auch noch danach suchen - weil so kanns das ja nicht sein.

Ich dank dir schon mal im voraus.

Wegen dem dial-Up Problem ist mir auch schon was eingefallen: ich will mir eine Exe basteln die eine Webseite aufruft, wenn die Verbindung fallen gelassen wird. Und dann macht der ISA wieder eine neue Verbindung.
Das einzige Problem was ich dabei hab ist, dass ich das Ding irgendwie als Service starten muss, aber das wird schon irgendwie hinhaun.

Aja, wo ich grad beim Thema programmieren bin: weißt du welche bzw. ob es überhaupt Möglichkeiten gibt auf Objekte/Eigenschaften vom ISA via VB Script bzw. mit WMI zuzugreifen? Vielleicht lässt sich darüber ja auch noch was rauskitzeln....

stormbringer · 18.09.2003, 20:35

Ich hatte recht! Unsere Nachbarn in .de bekommen bei der Einwahl auch immer nur eine dynamische IP zugewiesen.

Schau Dir das mal an:

http://www.piepers.de/toolz/ip_detect.htm

die webveröfffentlichung über dsl bzw dynamische IP mit einem server, der sich hinter dem isa-server befindet, führt zu dem problem, dass der isa-server die änderung der externen ip, an der er lauschen soll, nicht mitbekommt. abhilfe schafft ein kleines tool, dass die IP der externen schnittstelle (dsl-modem) überprüft und bei änderung des isa stoppt & wieder neu startet.

renew · 18.09.2003, 20:40

Zitat:

Original geschrieben von stormbringer
Ich hatte recht! Unsere Nachbarn in .de bekommen bei der Einwahl auch immer nur eine dynamische IP zugewiesen.

Schau Dir das mal an:

http://www.piepers.de/toolz/ip_detect.htm

die webveröfffentlichung über dsl bzw dynamische IP mit einem server, der sich hinter dem isa-server befindet, führt zu dem problem, dass der isa-server die änderung der externen ip, an der er lauschen soll, nicht mitbekommt. abhilfe schafft ein kleines tool, dass die IP der externen schnittstelle (dsl-modem) überprüft und bei änderung des isa stoppt & wieder neu startet.

das ging ja schnell.

Na hui, das würd ich auch noch zusammenbekommen, zu programmieren.

Naja, aber da sind eh auch die Sources dabei.

Weil was mir nicht gefällt ist, dass man vorher schon die Internetverbindung machen muss.
Hmm, das is aber Käse mit meiner gewünschten Lösung, dass sich der ISA wieder automatisch einwählt: wird nämlich die Internetverbindung vom ISA hergestellt, wird diese auch beendet wenn man den ISA neu startet. Naja, jetzt mach ich automatisch eine neue Verbindung, und das Tool dreht mir den ISA wieder ab und auf, und die Verbindung muss ich wieder aufs neue machen.

Naja, vielleicht kann ich mir eine kombinierte Lösung basteln.

Weil das Problem welches ich habe ist, dass ich nach 8 Stunden aus dem Netz fliege. Das haben die deutschen glaub ich nicht (scheiß Aon

)

stormbringer · 18.09.2003, 20:49

Zitat:

das ging ja schnell.

Google ist so gut wie man ihn füttert

Zitat:

Na hui, das würd ich auch noch zusammenbekommen, zu programmieren.
Naja, aber da sind eh auch die Sources dabei.

Auch wenn das jetzt Offtopic sein mag, aber es stellt sich tatsächlich die Frage wielange noch Sources mit dabei sein werden wenn dieses dämliche EU-Copyright durchgeht.

Zitat:

Naja, vielleicht kann ich mir eine kombinierte Lösung basteln.

Wird hoffentlich nicht allzu schwer.

Zitat:

Weil das Problem welches ich habe ist, dass ich nach 8 Stunden aus dem Netz fliege. Das haben die deutschen glaub ich nicht (scheiß Aon )

Das mit den 8 Stunden ist mir bekannt - an dem Problem hab' ich unter Linux schon mal "herumgedoktort" (Verbindung neu aufbauen wenn getrennt wird) - bis ich ein passenden Script fand das genau das Problem effizient erledigt.

18.09.2003, 20:35	#28
stormbringer Senior Member Registriert seit: 02.03.2001 Alter: 54 Beiträge: 102	Ich hatte recht! Unsere Nachbarn in .de bekommen bei der Einwahl auch immer nur eine dynamische IP zugewiesen. Schau Dir das mal an: http://www.piepers.de/toolz/ip_detect.htm die webveröfffentlichung über dsl bzw dynamische IP mit einem server, der sich hinter dem isa-server befindet, führt zu dem problem, dass der isa-server die änderung der externen ip, an der er lauschen soll, nicht mitbekommt. abhilfe schafft ein kleines tool, dass die IP der externen schnittstelle (dsl-modem) überprüft und bei änderung des isa stoppt & wieder neu startet. ____________________________________ -= This message transmitted on 100% recycled electrons =-

18.09.2003, 13:57	#21
renew Inventar Registriert seit: 22.10.2000 Alter: 41 Beiträge: 5.552	also er wählt sich automatisch ein egal ob ein Benutzer angemeldet ist oder nicht. Jedoch unter einer bestimmten ("beschissenen") Voraussetzung: Man muss den Aufruf "direkt" an den ISA senden. Sprich, man möchte z.B. eine Webseite ansurfen und der ISA ist als Proxy eingetragen. Ist er nicht als Proxy eingetragen passiert gar nicht. Das ist einerseits net so umständlich (wozu hat man den IE - den verwend ich einfach um die Inet-Verbindung zu erstellen) - andererseits wärs mir wenn er das immer macht schon lieber. Mal schaun, vielleicht find ich noch was, mit dem man das ganze angenehmer machen kann.

18.09.2003, 20:13	#25
renew Inventar Registriert seit: 22.10.2000 Alter: 41 Beiträge: 5.552	jein! Das was du geschrieben hast ist mir klar. Und ich denke, ich hab auch die Antwort auf meine Frage schon in der ISA-Hilfe gefunden; bzw. deckt sich das mit dem was du gerade gesagt hast. Man kann am ISA ja bei benutzerdefinierten Protokolldefinitionen sekundäre Verbindungen angeben. z.B. läuft der Emule-Client über die Ports 4662 und 4661 (ich weiß das is der Server, aber wurscht...) od. lass ich ICQ auf einem Rechner auf den Port 5050-5054 auf einkommende File-Transfers lauschen. Jetzt wollt ich wissen, ob, wenn man z.B 5050 als eingehend konfiguriert und die ports 5051-5054 als sekundäre Ports für eingehende Kommunikation definiert diese dann auch gleich bei der Serververöffentlichung gemappt werden. Sprich die Ports 5050-5054 werden weiter geleitet. Aber jetzt bin ich schon drauf gekommen, dass zuerst Kommunikation auf Port 5050 statt finden muss, damit weiters Kommunikation auf den "sekundären Ports" durch die Firewall kommt. Also hab ich jeden Port als "eigenes" Protokoll definiert. Detto bei eMule - und das funkt auch schon mit einer Hi-ID. Das einzige Problem was ich bei der Serververöffentlichung hab ist, dass hier als externe IP immer die gleiche eingetragen bleibt. Sobald ich mich aber neu einwähle hab ich eine neue IP und ich denk mir, dass dann die Veröffentlichung nimmer funken wird. Habs noch nicht getestet, werd ich aber gleich machen. So gerade getestet (drum hast posten ein wenig länger gedauert): und meine Befürchtung ist wahr. Der ISA wird dann einfach die Packeln ignorieren, weil sie nicht mit der eingetragenen IP übereinstimmen und somit nicht mehr weiter leiten. Mahh..... (da muss doch was geben, was das behebt - oder )

18.09.2003, 20:34	#27
renew Inventar Registriert seit: 22.10.2000 Alter: 41 Beiträge: 5.552	Mich würde es auch wundern. Und T-DSL in Deutschland wird denke ich nciht viel anders sein als ADSL von Post und Co. Denn es ist zwar keine 100%ig professionelle Lösung, wenn man eine dynamische IP Adresse hat. Aber ich denke, dass der ISA genauso auf kleine Firmen abzielt, die genau sowas haben. Weil bis jetzt hat ers nicht überissen. (eingetragen x.x.148.151, die aktuelle die ich hab is x.x.156.91) Ich werd auch noch danach suchen - weil so kanns das ja nicht sein. Ich dank dir schon mal im voraus. Wegen dem dial-Up Problem ist mir auch schon was eingefallen: ich will mir eine Exe basteln die eine Webseite aufruft, wenn die Verbindung fallen gelassen wird. Und dann macht der ISA wieder eine neue Verbindung. Das einzige Problem was ich dabei hab ist, dass ich das Ding irgendwie als Service starten muss, aber das wird schon irgendwie hinhaun. Aja, wo ich grad beim Thema programmieren bin: weißt du welche bzw. ob es überhaupt Möglichkeiten gibt auf Objekte/Eigenschaften vom ISA via VB Script bzw. mit WMI zuzugreifen? Vielleicht lässt sich darüber ja auch noch was rauskitzeln....

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)