none
NAT UM PRA UM RRS feed

  • Pergunta

  •  

    Tenho 10 IP`s publicos e quero separar paginas e serviços um com cada ip Publico, do lado de dentro tenho uma rede de perimento aonde tenho alguns servidores aonde essas paginas e serviços estao hospedodos.

     

    Como faço para que o ISA server compreenda que uma publicaçao de Site www.meusite.com.br e www.meusite2.com.br com ip`s 200.200.200.200 e 200.200.200.201 são internamente 192.168.1.1 e 102.168.1.2 e smtp.meusite.com.br e smtp.meusite2.com.br ip`s 200.200.200.202 e 200.200.200.203 sao internamente 192.168.1.3 e 192.168.1.4.

     

    Ou seja como criar uma tabela de roteamente com nat de um pra um, no checkpoint eu edito a tabela de roteamento do gated ou do zebra e coloco:

    ip route 200.200.200.200/32 192.168.1.1

    ip route 200.200.200.201/32 192.168.1.2

    ip route 200.200.200.202/32 192.168.1.3

    ip route 200.200.200.203/32 192.168.1.4

    Ai dentro dele crio dois objetos um com o ip publico e um com o privado e crio a regra dessa forma:

    Security

    Source = Any, Detination= ObjetoIPPublico, Service= HTTP,HTTPS, Açao=aceitar

    Translation Original Packet / Translated Packet

    Source= Any, Destination= ObjetoIPPublico, Service=Any  Source= Original, Destination= ObjetoIPPerimetro, Service= Any

    Source= ObjetoIPPrivado, Destination= Any, Service= Any Source= ObjetoIPPublico, Destination= Original, Service= Any

     

     

    Como fazer isso no ISA 2k6 sobre o Windows 2003 R2 ???????

    segunda-feira, 21 de abril de 2008 18:21

Respostas

  • E ai Marcelo na paz.

    Vamos la, vamos ver se consigo lhe ajudar ando meio afastado do fórum por falta de tempo estou envolvido em alguns projetos que estão me tomando todo o tempo mais vou fazer um esforço para voltar a contribuir com a comunidade.

    Pelo que eu compreendi do seu cenário vc tem um ISA configurado como Perímetro de Três Seguimentos, aonde vc deve ter uma placa do seu ISA ligada na sua rede interna, uma outra na Internet e uma 3 em uma rede que se compreendi seria a DMZ na sua estrutura correto.

    Vamos então por etapas, espero que atenda seus desejos para a configuração que vc quer fazer.
    Primeiro: vc tem vários IP`s públicos que quer que casa recurso utilize um IP X, vamos ao básico para uma placa de rede responder mais que um IP vc deve entrar nas configurações do TCP/IP da placa em questão e no botão avançado colocar os endereçamentos IP`s que a mesma deve responder caso o seu router de borda não realize esse trabalho.
    obs: essa configuração deve ser feita na placa de rede que esta ligada a borda da Internet ou seja sua placa Externa do seu ISA Server 2k6.

    Feito essa primeira etapa, vamos para segunda: no seus servidores DNS aonde esta criada as resoluções de nomes para o domínio e seus recursos vc deve criar os host/alias/mx/spf necessários usando os IP`s públicos que vc tem um para cada recurso em questão, ótimo teste para verificar se a resolução de nome esta ok, crie uma zona com algum nome que vc ache usual ou ate mesmo com o nome dmz e dentro dessa zona crie host`s com o nome de cada Server que será publicado para web com seu respectivo ip interno, essa resolução vc ira usar no IIS e no ISA.

    Feito essa segunda etapa, vamos para terceira: no seu servidor IIS crie seus sites e recursos em questão, e nas propriedades desse web site na guia “site da web” no botão avançado, edite o nome do Server ou endereço IP em questão e no campo “valor de cabeçalho do host” coloque o nome do Server.zona (o .zona e a que vc criou no passo 2), teste o web site para verificar se o mesmo esta sendo acessado sem problemas.

    Feito essa terceira etapa, vamos a melhor a quarta: vá ate o seu firewall e invoque o ISA Server 2k6, nele vc deve criar as regras necessárias para publicação de site, quantas sejam necessárias para atender sua estrutura, essa regra vc vai escrever da seguinte forma:

    ·         Nome da regra / Ação: Permitir / Protocolos: HTTP / De: Qualquer Lugar / Para: Server.zona / Tráfego: HTTP / Ouvinte: Port 80 / Nome Público: www.dominio.com.br.

    Siga esse passo para todos os sites caso tenha mais que um, o item Ouvinte vc deve criar um ouvinte na porta 80 conforme a necessidade que esse site utilize por exemplo autenticação.

    Certo assim matamos a publicação de sites sendo um para cada ip publico amarrado a cada ip interno da sua DMZ conforme configurado no DNS.

    No caso dos demais recursos imagino que seja DNS / FTP / SMP correto caso seja outro por favor post aqui que lhe darei uma força, esses são ate mais fácil, vc vai realizar a configuração no dns conforme já descrito, e no ISA ira criar a regra assim:

    ·         Nome da regra / Ação: Permitir / Protocolos: Servidor DNS / De: Qualquer Lugar / Para: IP da DMZ referente ao recurso / Redes: Externo.

    A jogada nesse caso para que vc tenha um outro IP publico para essa regra é entrar nas propriedades da regra e ir na guia rede, editar a rede Externa, nessa tela que ira lhe ser apresentada escolha “Endereços IP especificados no computador do ISA Server da rede selecionada” será liberado para vc os endereços que vc havia configurado na placa do seu ISA, e só escolher o IP publico que vc quer para esse recurso, essa regra caso seja para DNS seria do tipo Servidor não da Web.

    O mesmo caminho vc vai seguir para a publicação do FTP que seria Tb  do tipo Servidor não da Web, e a mesma configuração vc usaria na publicação de servidor de e-mail ao qual atenderia SMTP, edite a mesma e na guia rede faça a mesma jogada descrita acima.

    Sobre essa questão que vc colocou referente ao host, eu desconheço porem vc pode fazer como eu costumo configurar, pegue a sua placa de rede que esta ligada ao perímetro e nela configure o IP do servidor DNS que faz parte dessa rede, nas demais placas não coloque configuração de DNS, limpe o host e crie as regras de demais configurações conforme lhe passei que Tb deve resolver essa questão, acho que é só qualquer coisa post aqui no fórum que a comunidade esta ai para se unir e se ajudar  e Tb farei o possível para ver o seu post caso algum erro seja apresentado..

     

    Abraço.

     

     

    segunda-feira, 28 de abril de 2008 20:53

Todas as Respostas

  • E ai Marcelo na paz.

    Vamos la, vamos ver se consigo lhe ajudar ando meio afastado do fórum por falta de tempo estou envolvido em alguns projetos que estão me tomando todo o tempo mais vou fazer um esforço para voltar a contribuir com a comunidade.

    Pelo que eu compreendi do seu cenário vc tem um ISA configurado como Perímetro de Três Seguimentos, aonde vc deve ter uma placa do seu ISA ligada na sua rede interna, uma outra na Internet e uma 3 em uma rede que se compreendi seria a DMZ na sua estrutura correto.

    Vamos então por etapas, espero que atenda seus desejos para a configuração que vc quer fazer.
    Primeiro: vc tem vários IP`s públicos que quer que casa recurso utilize um IP X, vamos ao básico para uma placa de rede responder mais que um IP vc deve entrar nas configurações do TCP/IP da placa em questão e no botão avançado colocar os endereçamentos IP`s que a mesma deve responder caso o seu router de borda não realize esse trabalho.
    obs: essa configuração deve ser feita na placa de rede que esta ligada a borda da Internet ou seja sua placa Externa do seu ISA Server 2k6.

    Feito essa primeira etapa, vamos para segunda: no seus servidores DNS aonde esta criada as resoluções de nomes para o domínio e seus recursos vc deve criar os host/alias/mx/spf necessários usando os IP`s públicos que vc tem um para cada recurso em questão, ótimo teste para verificar se a resolução de nome esta ok, crie uma zona com algum nome que vc ache usual ou ate mesmo com o nome dmz e dentro dessa zona crie host`s com o nome de cada Server que será publicado para web com seu respectivo ip interno, essa resolução vc ira usar no IIS e no ISA.

    Feito essa segunda etapa, vamos para terceira: no seu servidor IIS crie seus sites e recursos em questão, e nas propriedades desse web site na guia “site da web” no botão avançado, edite o nome do Server ou endereço IP em questão e no campo “valor de cabeçalho do host” coloque o nome do Server.zona (o .zona e a que vc criou no passo 2), teste o web site para verificar se o mesmo esta sendo acessado sem problemas.

    Feito essa terceira etapa, vamos a melhor a quarta: vá ate o seu firewall e invoque o ISA Server 2k6, nele vc deve criar as regras necessárias para publicação de site, quantas sejam necessárias para atender sua estrutura, essa regra vc vai escrever da seguinte forma:

    ·         Nome da regra / Ação: Permitir / Protocolos: HTTP / De: Qualquer Lugar / Para: Server.zona / Tráfego: HTTP / Ouvinte: Port 80 / Nome Público: www.dominio.com.br.

    Siga esse passo para todos os sites caso tenha mais que um, o item Ouvinte vc deve criar um ouvinte na porta 80 conforme a necessidade que esse site utilize por exemplo autenticação.

    Certo assim matamos a publicação de sites sendo um para cada ip publico amarrado a cada ip interno da sua DMZ conforme configurado no DNS.

    No caso dos demais recursos imagino que seja DNS / FTP / SMP correto caso seja outro por favor post aqui que lhe darei uma força, esses são ate mais fácil, vc vai realizar a configuração no dns conforme já descrito, e no ISA ira criar a regra assim:

    ·         Nome da regra / Ação: Permitir / Protocolos: Servidor DNS / De: Qualquer Lugar / Para: IP da DMZ referente ao recurso / Redes: Externo.

    A jogada nesse caso para que vc tenha um outro IP publico para essa regra é entrar nas propriedades da regra e ir na guia rede, editar a rede Externa, nessa tela que ira lhe ser apresentada escolha “Endereços IP especificados no computador do ISA Server da rede selecionada” será liberado para vc os endereços que vc havia configurado na placa do seu ISA, e só escolher o IP publico que vc quer para esse recurso, essa regra caso seja para DNS seria do tipo Servidor não da Web.

    O mesmo caminho vc vai seguir para a publicação do FTP que seria Tb  do tipo Servidor não da Web, e a mesma configuração vc usaria na publicação de servidor de e-mail ao qual atenderia SMTP, edite a mesma e na guia rede faça a mesma jogada descrita acima.

    Sobre essa questão que vc colocou referente ao host, eu desconheço porem vc pode fazer como eu costumo configurar, pegue a sua placa de rede que esta ligada ao perímetro e nela configure o IP do servidor DNS que faz parte dessa rede, nas demais placas não coloque configuração de DNS, limpe o host e crie as regras de demais configurações conforme lhe passei que Tb deve resolver essa questão, acho que é só qualquer coisa post aqui no fórum que a comunidade esta ai para se unir e se ajudar  e Tb farei o possível para ver o seu post caso algum erro seja apresentado..

     

    Abraço.

     

     

    segunda-feira, 28 de abril de 2008 20:53
  •  

    Opa boa noite leandro

     

    Vou seguir os passos e lhe informo valeu pela força

    segunda-feira, 28 de abril de 2008 22:58
  •  

    Leandrão.

     

    Valeu cara rolou legal dessa forma que vc colocou abraço..

     

    terça-feira, 29 de abril de 2008 15:18