Remove From My Forums

wird HTTP-Datenverkehr immer geNATed?

Frage
0

Anmelden

Hallo zusammen,

irgendwie stehe ich wohl gerade voll auf dem Schlauch...

Ein ISA2006 mit 2 NICs (1x LAN, 1x Verbindung zur Frontfirewall) ist das Default Gateway meines LANs und routet von intern an die Frontfirewall, welche dann ins Internet NATed. Ein Test-PC hat keinerlei Restriktionen auf dem ISA und kann mit allen Protokollen aufs Internet zugreifen. Das funktioniert alles wunderbar.

Nun ist mir allerdings im Log der Frontfirewall aufgefallen, dass alle HTTP-Anfragen dieses Test-PCs nicht mit der internen IP des Clients ankommen, sondern mit der IP des ISA. Bei anderen Protokollen wie z.B. SMTP, POP3, o.ä. wird aber sehr wohl die IP des Clients angezeigt.

Weiß jemand, warum sich das so verhält? Sehe ich den Wald vor läuter Bäumen nicht?

Gruß Andreas

Samstag, 21. April 2012 11:45

Antworten

2

Anmelden
technisch korrekt müsste ich sagen: http wird immer geproxed.

insofern sind immer 2 sessions im spiel (interne/externe) und es "fühlt sich so an" wie als ob genatted wird.

würde dies nicht gewollt sein, dann müsste man eine protokolldefinition mit ohne webproxyfilter anlegen tun und dann diese via zugriffsregel erlauben tun.

uh - wasn duits, habe gerade 2 stunden lackiert - merkt man dem?

;-)
gruss, jens mander aka karsten hentrup - www.aixperts.de - www.forefront-tmg.de - www.hentrup.net |<-|
- Als Antwort vorgeschlagen Alex Pitulice Donnerstag, 26. April 2012 08:01
- Als Antwort markiert Alex Pitulice Freitag, 4. Mai 2012 13:34
Samstag, 21. April 2012 14:00
2

Anmelden
Hi @all,

Und nicht die HTTP deny Regel hinter der Regel mit custom HTTP vergessen
regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
- Als Antwort vorgeschlagen Alex Pitulice Donnerstag, 26. April 2012 08:01
- Als Antwort markiert Alex Pitulice Freitag, 4. Mai 2012 13:34
Samstag, 21. April 2012 17:26
2

Anmelden
Hi,

http://blog.forefront-tmg.de/?p=806
http://blogs.technet.com/b/isablog/archive/2006/09/25/why-do-i-need-a-deny-rule-to-make-an-allow-rule-for-a-custom-protocol-work-correctly.aspx
regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
- Als Antwort markiert Alex Pitulice Freitag, 4. Mai 2012 13:34
Donnerstag, 26. April 2012 19:01

Alle Antworten

2

Anmelden
technisch korrekt müsste ich sagen: http wird immer geproxed.

insofern sind immer 2 sessions im spiel (interne/externe) und es "fühlt sich so an" wie als ob genatted wird.

würde dies nicht gewollt sein, dann müsste man eine protokolldefinition mit ohne webproxyfilter anlegen tun und dann diese via zugriffsregel erlauben tun.

uh - wasn duits, habe gerade 2 stunden lackiert - merkt man dem?

;-)
gruss, jens mander aka karsten hentrup - www.aixperts.de - www.forefront-tmg.de - www.hentrup.net |<-|
- Als Antwort vorgeschlagen Alex Pitulice Donnerstag, 26. April 2012 08:01
- Als Antwort markiert Alex Pitulice Freitag, 4. Mai 2012 13:34
Samstag, 21. April 2012 14:00
2

Anmelden
Hi @all,

Und nicht die HTTP deny Regel hinter der Regel mit custom HTTP vergessen
regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
- Als Antwort vorgeschlagen Alex Pitulice Donnerstag, 26. April 2012 08:01
- Als Antwort markiert Alex Pitulice Freitag, 4. Mai 2012 13:34
Samstag, 21. April 2012 17:26
0

Anmelden

Hallo Andreas,

Ist Deine Situation eigentlich abgeklärt? :) Wenn ja - bitte markiere die hilfreichen Beiträge "als Antwort".

Danke und Grüß,

Alex
Alex Pitulice, MICROSOFT
Bitte haben Sie Verständnis dafür, dass im Rahmen dieses Forums, welches auf dem Community-Prinzip „IT-Pros helfen IT-Pros“ beruht, kein technischer Support geleistet werden kann oder sonst welche garantierten Maßnahmen seitens Microsoft zugesichert werden können.

Donnerstag, 26. April 2012 08:01
0

Anmelden

Hallo zusammen,

vorab erstmal vielen Dank für die Antworten. Ich bin leider noch nicht dazu gekommen, die Sache umzusetzen. Marc, was meinst Du mit der Deny-Regel?

Gruß Andreas

Donnerstag, 26. April 2012 18:29
2

Anmelden
Hi,

http://blog.forefront-tmg.de/?p=806
http://blogs.technet.com/b/isablog/archive/2006/09/25/why-do-i-need-a-deny-rule-to-make-an-allow-rule-for-a-custom-protocol-work-correctly.aspx
regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
- Als Antwort markiert Alex Pitulice Freitag, 4. Mai 2012 13:34
Donnerstag, 26. April 2012 19:01
0

Anmelden

Hallo zusammen,

jetzt klappt alles. Vielen Dank für die Unterstützung.

Gruß und schönen Sonntag
Andreas

Sonntag, 6. Mai 2012 08:30
0

Anmelden

Hi,

sehr schoen. Dir auch einen schoenen Sonntag!
regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de

Sonntag, 6. Mai 2012 08:43

Produkte

Resources

Solutions

Updates

Testversionen

Verwandte Websites

Training

Zertifizierungen

Weitere Ressourcen

Für Produkte

Mehr Support

Kein IT-Experte?

Benutzer mit den meisten Antworten

wird HTTP-Datenverkehr immer geNATed?

Frage

Antworten

Alle Antworten