none
לא מצליח להיכנס לאתר IIS 7 פנימי מחוץ לארגון RRS feed

  • שאלה

  • שלום,

    הגדרתי על גבי שרת SERVER 2008 ב- IIS 7 אתר אינטרנט  .

    שם השרת webserv כתובתו הפנימית : 10.0.0.2

    האתר נמצא כ- application מתחת ל- default web site  שם האפליקציה task

    האתר מאזין בפורט 80 או 443  ומתוך הארגון אני מקליד בשורת הכתובת  :

    http://webserv/task

    או :

    https://webserv/task

    או 

    http://10.0.0.2/task וכמובן  https://10.0.0.2/task 

    והכל עובד

    רציתי לאפשר חיבור גם מחוץ לארגון. הגדרתי בפיירוול שכתובתו החיצונית 200.200.200.200 (לצורך הדוגמא)  הפניה בפורט 8585 ל- 10.0.0.2  בפורט 443.

    ניסיתי מבחוץ להיכנס :

    https://200.200.200.200:8585 , מקבל אזהרת אבטחה של ה- certificate  אני מאשר אותה  ומקבל הודעה כי הדף   under construction 

    הבנתי כי יש לדאוג לבצע http redirect מ ה- default web site  לאפליקציה  task  :

    בגדרתי ב- http redirect  של ה- default web site בשורה הראשונה (redirect requests to this destination ) : 

    task/

    וסימנתי ב- V רק את - only redirect requests to content in this directory 

    כעת . מתוך הארגון

    http://10.0.0.2  או https://10.0.0.2 מגיע לאתר

    אולם מבחוץ , מגיע אל הודעת האבטחה עם ה- certificate  אך מקבל cant find this page 

    חברת האינטרנט המנהלת את הפיירוול בדקה עם הכלים שלה הודיעה כי  האתר דוחה את ההתקשרות the conection refused 

    מכאן אמרו שהחסימה בשרת.

    מה כיולה להיות הבעיה ?

    יום חמישי 26 מאי 2011 14:54

תשובות

  • טוב אז בוא תעשהב את הצעדים הבאים ונראה מה קורה.

    1. ב IIS בהגדרות binding של ה site תגדיר

    Type - HTTPS

    IP Address - 10.0.0.2

    Port - 8585

    SSL Sertificate - תבחר את התעודה המתאימה

    נכון להגדרות הנ"ל, אתה תוכל לגלוש לספריה שאתה רוצה מתוך הארגון ! בכתובת https://10.0.0.2:8585/directory

    לאחר מכן גש לFW שלך ותגדיר שכל תעבורה לכתובת החיצונית שלך נגיד 200.200.200.200 בפורט 8585 תופנה לכתבות הפנימית 10.0.0.2

    ואז הכתובת לגלישה מבחוץ בלבד תהיה https://200.200.200.200:8585/directory

    אם תבצע את ההגדרות הנ"ל 1:1 אני לא רואה כל סיבה שדברים לא יעבדו. חזור ועדכן אותי בבקשה.

     

    סופ"ש מצויין.

    • הוצע כתשובה על-ידי CroC_Microsoft יום שישי 27 מאי 2011 16:07
    • סומן כתשובה על-ידי Meir Pinto יום שני 20 יוני 2011 06:06
    יום שישי 27 מאי 2011 16:05
  • " לאחר מכן גש לFW שלך ותגדיר שכל תעבורה לכתובת החיצונית שלך נגיד 200.200.200.200 בפורט 8585 תופנה לכתבות הפנימית 10.0.0.2 "  - ההפניה הקיימת היא port forward כל גישה לכתובת 200.200.200.200   בפורט 8585 מפנה ל- 10.0.0.2 בפורט 443 בלבד  .  האם לא כך צריך לעשות?

    לפי מה שכתבת אתה מבקש לפתוח כל תעבורה (כל הפורטים) למי שניגש לפיירוול בפורט 8585 ,ואז השרת חשוף למתקפות בכל פורט אפשרי.

    מלבד זה, וכפי שכתבתי בתחילת הפניה, כבר ביצעתי את כל האמור וזה לא עוזר.

    (הפיירוול בשרת 10.0.0.2 כבוי )

     

     

    • סומן כתשובה על-ידי Meir Pinto יום שני 20 יוני 2011 06:06
    שבת 28 מאי 2011 12:40
  • " לאחר מכן גש לFW שלך ותגדיר שכל תעבורה לכתובת החיצונית שלך נגיד 200.200.200.200 בפורט 8585 תופנה לכתבות הפנימית 10.0.0.2 "  - ההפניה הקיימת היא port forward כל גישה לכתובת 200.200.200.200   בפורט 8585 מפנה ל- 10.0.0.2 בפורט 443 בלבד  .  האם לא כך צריך לעשות?

    לפי מה שכתבת אתה מבקש לפתוח כל תעבורה (כל הפורטים) למי שניגש לפיירוול בפורט 8585 ,ואז השרת חשוף למתקפות בכל פורט אפשרי.

    מלבד זה, וכפי שכתבתי בתחילת הפניה, כבר ביצעתי את כל האמור וזה לא עוזר.

    (הפיירוול בשרת 10.0.0.2 כבוי )

     

     

    היי,

     

    לא התכוונתי שאת כל התעבורה תפנה פנימה .. התכוונתי שאת כל התעבורה מהכתובת 200.200.200.200 בפורט 8585 בלבד ! תפנה ל 10.0.0.2 בפורט 8585 בלבד !

    נראה לי שהפעיה אצלך זה שאתה עושה שינוי של הפורט ומפנה את כל התעבורה של 8585 ל 443 ובIIS מגדיר 443 פשו ב IIS תגדיר את הפורט 8585

    ותפנה ב FW את כל התעבורה של 200.200.200.200:8585 ל 10.0.0.2:8585 ..

    • סומן כתשובה על-ידי Meir Pinto יום שני 20 יוני 2011 06:06
    יום שני 30 מאי 2011 14:44

כל התגובות

  • למה אתה לא ניגש ל:

    https://externalip:8585/task

    * בלי צורך ב REDIRECT.



     

    בברכה, יובל סיני, יועץ טכנולוגיות, אתר אינטרנט: http://www.ben-shushan.net Blog: http://blogs.microsoft.co.il/blogs/yuval14/

    יום חמישי 26 מאי 2011 18:37
  • היי לא הבנתי את השורה :

    "200.200.200.200 (לצורך הדוגמא) הפניה בפורט 8585 ל- 10.0.0.2 בפורט 443." התכוונת לכתוב ו-בפורט 443 ? (בדגש על ה ו)

    בכל מקרה  אופציה שהייתי בודק זה ..

    אם יש לך כתובת חיצונית נוספת הייתי מגדיר Static NAT מאותה כתובת חיצונית לכתובת הפנימית  (כל התעבורה באי פי 200.200.200.200 לאי פי הפנימי 10.0.0.2 )

    על site מוודא שישנה כתובת צפה (איפי ללא Header) שמאזינה בפורט 80 והשניה בפרוט 443 (ל 443  כמובן משייך את Certificte המתאים)

    ואז בגלישה מבחוץ https://200.200.200.200/directory  או http://200.200.200.200/directory  ומגלישה ומבפנים אותו דבר רק אם הכתובת הפנימית .

    ד"א איזה FW  יש ברשותך  ?


    • הוצע כתשובה על-ידי CroC_Microsoft יום שישי 27 מאי 2011 08:16
    יום שישי 27 מאי 2011 08:04
  • היי ,

    אין לי כתובת חוקית אלא רק כתובת פנימית שהיא 10.0.0.2  . ומאחר וופורט 443 בפיירוול כבר מפנה לשרת exchange , אני לא יכול לגשת לפיירוול בפורט 443 

    אז מה שעשיתי זה שאם ניגשים לפיירוול בפורט 8585 אז מתבצעת הפניית פורט ל- 10.0.0.2 בפורט 443 

    כך , אני צריך לרשום בדפדפן את הכתובת :  https://200.200.200.200:8585 ומצפה לקבל את האתר שמאזין בפורט 443 

    FW של Fortigate 

    יום שישי 27 מאי 2011 14:59
  • טוב אז בוא תעשהב את הצעדים הבאים ונראה מה קורה.

    1. ב IIS בהגדרות binding של ה site תגדיר

    Type - HTTPS

    IP Address - 10.0.0.2

    Port - 8585

    SSL Sertificate - תבחר את התעודה המתאימה

    נכון להגדרות הנ"ל, אתה תוכל לגלוש לספריה שאתה רוצה מתוך הארגון ! בכתובת https://10.0.0.2:8585/directory

    לאחר מכן גש לFW שלך ותגדיר שכל תעבורה לכתובת החיצונית שלך נגיד 200.200.200.200 בפורט 8585 תופנה לכתבות הפנימית 10.0.0.2

    ואז הכתובת לגלישה מבחוץ בלבד תהיה https://200.200.200.200:8585/directory

    אם תבצע את ההגדרות הנ"ל 1:1 אני לא רואה כל סיבה שדברים לא יעבדו. חזור ועדכן אותי בבקשה.

     

    סופ"ש מצויין.

    • הוצע כתשובה על-ידי CroC_Microsoft יום שישי 27 מאי 2011 16:07
    • סומן כתשובה על-ידי Meir Pinto יום שני 20 יוני 2011 06:06
    יום שישי 27 מאי 2011 16:05
  • " לאחר מכן גש לFW שלך ותגדיר שכל תעבורה לכתובת החיצונית שלך נגיד 200.200.200.200 בפורט 8585 תופנה לכתבות הפנימית 10.0.0.2 "  - ההפניה הקיימת היא port forward כל גישה לכתובת 200.200.200.200   בפורט 8585 מפנה ל- 10.0.0.2 בפורט 443 בלבד  .  האם לא כך צריך לעשות?

    לפי מה שכתבת אתה מבקש לפתוח כל תעבורה (כל הפורטים) למי שניגש לפיירוול בפורט 8585 ,ואז השרת חשוף למתקפות בכל פורט אפשרי.

    מלבד זה, וכפי שכתבתי בתחילת הפניה, כבר ביצעתי את כל האמור וזה לא עוזר.

    (הפיירוול בשרת 10.0.0.2 כבוי )

     

     

    • סומן כתשובה על-ידי Meir Pinto יום שני 20 יוני 2011 06:06
    שבת 28 מאי 2011 12:40
  • שלום רב,

    א. ההמלצות שנתנו לך אמורות לכסות את נושא הגדרת ה IIS.

    ב. מכיוון שאתה עובד עם מוצר צד שלישי (FW) מומלץ בחום שתבדוק את ההגדרות שלו

    עם יועץ אבטחת מידע.

    בכל מקרה, צורת העבודה שלכם - ששרת הבדיקות יושב ב LAN וחשוף

    לאינטרנט לא נכונה, וכדאי שתבנו סביבת בדיקות מאובטחת.

    בהצלחה


    בברכה, יובל סיני, יועץ טכנולוגיות, אתר אינטרנט: http://www.ben-shushan.net Blog: http://blogs.microsoft.co.il/blogs/yuval14/
    שבת 28 מאי 2011 13:35
  • " לאחר מכן גש לFW שלך ותגדיר שכל תעבורה לכתובת החיצונית שלך נגיד 200.200.200.200 בפורט 8585 תופנה לכתבות הפנימית 10.0.0.2 "  - ההפניה הקיימת היא port forward כל גישה לכתובת 200.200.200.200   בפורט 8585 מפנה ל- 10.0.0.2 בפורט 443 בלבד  .  האם לא כך צריך לעשות?

    לפי מה שכתבת אתה מבקש לפתוח כל תעבורה (כל הפורטים) למי שניגש לפיירוול בפורט 8585 ,ואז השרת חשוף למתקפות בכל פורט אפשרי.

    מלבד זה, וכפי שכתבתי בתחילת הפניה, כבר ביצעתי את כל האמור וזה לא עוזר.

    (הפיירוול בשרת 10.0.0.2 כבוי )

     

     

    היי,

     

    לא התכוונתי שאת כל התעבורה תפנה פנימה .. התכוונתי שאת כל התעבורה מהכתובת 200.200.200.200 בפורט 8585 בלבד ! תפנה ל 10.0.0.2 בפורט 8585 בלבד !

    נראה לי שהפעיה אצלך זה שאתה עושה שינוי של הפורט ומפנה את כל התעבורה של 8585 ל 443 ובIIS מגדיר 443 פשו ב IIS תגדיר את הפורט 8585

    ותפנה ב FW את כל התעבורה של 200.200.200.200:8585 ל 10.0.0.2:8585 ..

    • סומן כתשובה על-ידי Meir Pinto יום שני 20 יוני 2011 06:06
    יום שני 30 מאי 2011 14:44
  • היי,

    אשמח אם תוכל/י לעדכן אותנו בסטטוס השאלה שלך.

     

    במידה וקיבלת תשובה מתאימה לשאלתך, יש לסמן את התשובה המתאימה ע"י לחיצה על "סמן כתשובה" ליד סימון ה V הירוק

    אם לא קיבלת תשובה, מומלץ לספק פרטים נוספים אודות הבעיה, פרטי לוג, צילומי מסך וכו'

    על מנת להעלות תמונה לפורום ניתן להעזר במדריך להעלאת תמונה.


    אם תגובתי פתרה את בעייתך - לחץ/י, על "סמן כתשובה" ליד סימן ה V הירוק.

    על מנת להעלות תמונה לפורום ניתן להעזר במדריך להעלאת תמונה
    מיקרוסופט מציעה שירות זה ללא תשלום, למטרת סיוע למשתמשים והעשרת הידע הקשור בטכנולוגיות ובמוצרים של Microsoft. תוכן זה מתפרסם כפי שהוא והוא אינו מעיד על כל אחריות מצד מיקרוסופט.
    יום ראשון 19 יוני 2011 09:14