locked
Firewallrichtlinien greifen nicht RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hallo Jens & Jens,

     

    habe eine kurze Frage an euch, ich habe an einem Standort einen ISA 2006 SP1 installiert mit GFI WEBMON.

    Habe mehrere Firewallrichtlinien , ich betreibe es im Single NIC...

     

    Wenn ichjetzt einen TestClient nehme und als Proxy meinen ISA 2006 eintrage, verweigert er jede Seite, egal welche ich eingebe.

    Wenn ich in die Protokollierung gucke, steht immer " Standartregel" Block, also die Firewallrichtlinien die ich erstellt habe, funktionieren gar nicht.

    Einen Tip ?

     

    Vielen Dank

    Freitag, 29. Oktober 2010 11:41

Antworten

  • Question
    Anmelden
    0
    Anmelden

    Hi,

    wenn du das Netzwerkobjekt Intern angepasst hast, dann must du in den Regeln als Ziel natürlich Extern nehmen, da dies für alle IP-Adressbereiche steht die nicht explizit in einem Netzwerk vom ISA definiert sind.

    Also Regeln anpassen auf:

    erlauben http https ftp ---> intern Lokalhost --> EXTERN Alle Benutzer 

    erlauben http https ftp ---> intern Lokalhost --> EXTERN Alle Authentifizierten Benutzer

    verweigern http https ftp ---> intern Lokalhost --> EXTERN Alle Authentifizierten Benutzer

    Wobei Regel 2und 3 mir keinen Sinn ergeben, da diese niemals angewendet werden, da REgel 1 den Datenverkehr anonym erlaubt.

    Gruß 

    Christian

    Christian Groebner MVP Forefront
    Freitag, 29. Oktober 2010 11:59

Alle Antworten

  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    wie schauen denn die Firewallrichtlinien aus? Ich kann mir vorstellen, dass du als Ziel Extern verwendet hast, was du bei einem Single-NIC-ISA nicht machen darfst, sondern du musst als Ziel ebenfalls das Netzwerk Intern nehmen.

    Bei einem Single-NIC-ISA enthält laut der Netzwerkdefinition das Netzwerkobjekt Intern alle IP-Kreise.

    Gruß

    Christian

     

    Christian Groebner MVP Forefront
    Freitag, 29. Oktober 2010 11:45
  • Question
    Anmelden
    0
    Anmelden

    Hallo ,

     

    meine Firewallrichtlinien sehen so aus:

     

    erlauben http https ftp ---> intern Lokalhost --> intern Alle Benutzer 

    erlauben http https ftp ---> intern Lokalhost --> intern Alle Authentifizierten Benutzer

    verweigern http https ftp ---> intern Lokalhost --> intern Alle Authentifizierten Benutzer

     

    verweigern ISA Standartregel

     

    Mein Netzwerk Intern "adressen" sieht so aus:

    10.0.0.0 - 10.255.255.255 (weil ich in meinem Netz nur Ip Adressebereiche haben die mit 10.x.x.x anfangen)

     

    Mein Netzwerk Intern "webbrowser" sieht so aus:

    *.domäne

    10.0.0.0 - 10.255.255.255

     

    direkt zugreiffen.

     

     

    Freitag, 29. Oktober 2010 11:55
  • Question
    Anmelden
    0
    Anmelden

    Hi,

    wenn du das Netzwerkobjekt Intern angepasst hast, dann must du in den Regeln als Ziel natürlich Extern nehmen, da dies für alle IP-Adressbereiche steht die nicht explizit in einem Netzwerk vom ISA definiert sind.

    Also Regeln anpassen auf:

    erlauben http https ftp ---> intern Lokalhost --> EXTERN Alle Benutzer 

    erlauben http https ftp ---> intern Lokalhost --> EXTERN Alle Authentifizierten Benutzer

    verweigern http https ftp ---> intern Lokalhost --> EXTERN Alle Authentifizierten Benutzer

    Wobei Regel 2und 3 mir keinen Sinn ergeben, da diese niemals angewendet werden, da REgel 1 den Datenverkehr anonym erlaubt.

    Gruß 

    Christian

    Christian Groebner MVP Forefront
    Freitag, 29. Oktober 2010 11:59
  • Question
    Anmelden
    0
    Anmelden

    Wenn ich jetzt bei :

     

    Mein Netzwerk Intern "adressen" --> hinzufügen Adapter mache und okay klicke.

     

    Funktioniert es.. wieso aber nicht wie oben beschrieben ?

     

    Wenn ich jetzt auch noch die Regel für alle Bentzuer hinter die authentifizierte Benutzer schiebe , sehe ich auch unter Protokollierung Domäne\Name

    • Bearbeitet Ruffy1984 Freitag, 29. Oktober 2010 12:11
    Freitag, 29. Oktober 2010 12:00
  • Question
    Anmelden
    0
    Anmelden

    Du hast Recht Christian,

     

    wenn ich in die Firewallregel .. anstatt Intern Extern rein schreibe funktioniert es auch.

    Ich habe dieses mal nachgefragt ob das funktioniert, mir wurde gesagt, das funktioniert bei einem SIngle Nic Szenario nciht, weil ich ja kein Extern habe.

     

    Meine ISA geht über einen Upstram Proxy ins Netz.

     

    ABer es funktioniert trozdem erstaunlichweise...

     

    SO wäre es für mich besser, weil wenn ich im Internet auf eine IP zugreiffe zb: http://142.156.232.34 , da diese auch in meinem Netzwerk Intern vorhanden ist , möchte er die im Intranet öffen, so mit Intern und Extern hätte ich dieses Problem nicht, oder ich müsste jeden IP die irgendwo in einer URL kommt excludieren.

    Freitag, 29. Oktober 2010 12:11
  • Question
    Anmelden
    0
    Anmelden

    Hi,

    du hast in der STandardkonfiguration kein Extern, da das Netzwerkobjekt alle IP-Bereiche enthält und somit Extern keinen IP-Bereich mehr besitzen kann. Wenn du allerdings dein Netzwerkobjekt Intern auf deinen tatsächlichen IP-Adressbereich anpasst, dann enthält das Netzwerkobjekt Extern die IP-Adressbereiche die nicht in lokalen Netzwerken verwendet werden. Prinzipiell kann man die Konfiguration in beiden Varianten betreiben.

    Gut zu hören, dass es jetzt funzt.

    Gruß

    Christian

    Christian Groebner MVP Forefront
    Freitag, 29. Oktober 2010 12:23
  • Question
    Anmelden
    0
    Anmelden

    Hallo zusammen,

    Wenn ich ISA_Server als reine Proxyserver installieren soll, wähle ich auch immer das Single-Adapter-Modell. Habe damit bisher gute Erfahrungen gemacht (auch wenn BPA das ander sieht;) ).

    Danach definiere ich immer ganz genau das Netzwerk "Intern". Dann verhält sich ISA auch wieder korrekt. Wenn man dann im Bereich Webchaning mit zwei Regeln arbeitet,

    1. Abrufe auf das Zielnetz "Intern" - direkt abrufen
    2. Abrufe auf das Zielnetz "Extern" - über den Proxy

    wird auch nichts internes mehr über den zweiten Proxy geschleift.

    Viele Grüße
    Carsten

    Freitag, 29. Oktober 2010 12:32