ISA Server - Portfreischaltung

[jay_R]

muss folgendes hinbekommen:

von einem meiner clients muss ich auf port 1234 auf nen server kommen der extern steht... dazu leg ich aufm isa-server den port 7777 (ausgehend) an und erstelle ne protokollregel... ok ...
dann muss ich aber noch gewährleisten, dass der externe server mit meinem internen client auf nem dynamischen port kommuniziert ( > 1023)... wie bekomm ich das jetzt hin?... muss ich das mit sekundärverbindungen lösen die ich gleich beim anlegen des ports angeben kann?

[LouCypher]

wieso muss man um auf den port 1234 zuzugreifen den port 7777 outgoing freischalten, wenn der server mit dem client auf einem dynamischen port>1023 kommuniziert??????????

Es ist fast immer so das der server im internet mit dem client hinter der firewall über einen port>1023 kommuniziert, egal ob http, ftp, telnet usw.

[jay_R]

LOL...
i bin so ein idiot... sorry...
zuerst hatte ich 1234 hingeschrieben weil ich den port nicht genau wusste... nach nem telefonat mit dem verantwortlichen hab ich den text erst weitergeschrieben *G*...

also der port den ich brauch is 7777...
port 7777 erstellen und protokollregel is klar...

@lou
weiters muss ich also nichts machen meinst?

[LouCypher]

beim isa ist es hart, manchmal tut er wie du willst, manchmal erst nach einem reboot, manchmal gar nicht ... mag ihn nicht auch wenn er viel kann (zu viel imho) .

Du musst also auf einen dienst im internet auf port 7777 zugreifen? Dann sollts reichen wenn am client der isa client läuft sonst muss gar nichts konfigurieren. Eventuell musst in der clientsoftware angeben das du über einen proxy ins internet gehst, glaub aber nicht das dies notwendig ist.

[jay_R]

ja ich muss auf nen dienst auf port 7777 im inet zugreifen...
dabei kanns aber in weiterer folge vorkommen dass die komunikation zwischen client und dem externen server auf dynamischen ports (grösser 1023) läuft...

nachdem wir mit telnet, ftp... auch arbeiten und ich dabei auch jeweils immer nur den "hauptport" freigeschaltet habe sollts dann hier auch funktionieren...

am freitag weiss ich dann mehr!

[jay_R]

bekomm den spass leider nicht zum laufen:

hier nochmal die voraussetzungen die ich erfüllen muss:

commPC = interner PC in meinem netzwerk
BCSFTP = externer PC auf den ich zugreifen muss

1. Nur den TCP Port 7777 vom CommPC zur 193.150.167.25 ausgehend gestatten,
2. Filtern dieses Ports auf den dynamisch festgelegten Datenport und
3. zur Laufzeit den Datenport freischalten.
oder
4. Die TCP Ports > 1023 zwischen CommPC und BCSFTP zulassen.


ich hab auf meiner firewall jetzt port 7777 (ausgehend) in den protokolldefinitionen angelegt und unter protokollregeln eine regel erstellt in der ich das oben angeführte protokoll zulasse...

in den isalogs erscheint auch die verbindung...

anmelden funktioniert aber dann reisst die kommunikation ab

was mach ich da nun falsch?

[chrisne]

lasse einmal ein tcpdump rennen und schaue was passiert.
vielleicht fehlt dir ja noch ein port.
ethereal wäre sehr zum empfehlen.

gC

[jay_R]

ok... werd ich mal probieren..

[jay_R]

recht viel gescheiter bin ich nun net wirklich geworden...
klar werden andere ports auch benötigt... eben grösser >1023 wie es in den anforderungen oben eh schon steht (in den isa-logs stehts genauso drin)...
aber nur wie lös ich das nun?