none
Mascarar subporta RRS feed

  • Pergunta

  • Pessoal,

    Tenho uma aplicação web que publiquei pelo meu ISA para acesso pela web.

    A regra é simples e trabalha sob a porta 80, até ai normal.

    Porém, depois de feito login via form autentication, a minha aplicação fecha uma conexão por outra porta, segurança da própria aplicação.

    Porém meus clientes precisam acessar, e um cliente em especifico tem regras de segurança chatissimas rsrs

    Ele está irredutivel a abrir a porta, portanto eu gostaria de saber se eu consigo fazer essa porta se comunicar por dentro da porta 80, e nao diretamente como ele faz por padrao.

    Se nao fui claro, por favor me avisem rsrs

    Abs
    sexta-feira, 4 de setembro de 2009 17:54

Respostas

  • Ahhh entao o problema nao esta no ISA...

    Cara vc teria que encapsular essa porta X da sua aplicação dentro da 80 por ex...

    Eu sinceramente nunca fiz isso pelo ISA e nao sei se daria ou nao, e se funciona....mas em todo caso vale a leitura desse documento:

    http://support.microsoft.com/kb/283284/pt-br

    abraços
    Luiz Fernando Dias - MVP .::http://lfdias.mvpbrasil.com.br::.::http://lfdias.mvpbrasil.com.br/blog::.
    terça-feira, 15 de setembro de 2009 19:55
    Moderador

Todas as Respostas

  • Tenta adicionar uma porta secundária no protocolo utilizado
    ou cria um novo protocolo configurando essa porta secundária..

    testa e vê se funciona.

    abs,


    Qualquer criança brinca, qualquer criança se diverte.
    sexta-feira, 4 de setembro de 2009 19:25
    Moderador
  • Amigo,

    PQ vc nao faz o redirecionamento de portas?
    não ajudaria?

    nao sei se entendi direito o seu problema...

    abraços
    Luiz Fernando Dias - MVP .::http://lfdias.mvpbrasil.com.br::.::http://lfdias.mvpbrasil.com.br/blog::.
    sábado, 5 de setembro de 2009 04:14
    Moderador
  • Bom isso é uma missão e tanto hein, fazer toda a comunicação pelo porta 80 sem abrir outras portas, isso não dependeria so do ISA e tb da sua aplicação. Creio eu que você terá sim que publicar essas outras portas no ISA, como uma publicação de servidor redirecionando para esse seu server. Ainda se sua aplicação fosse por RPC, dai para vc fazer HTTP over RPC.


    No aguardo.


    Se foi util marque como resposta


    Fazzani - MCP, MCSA, MCTS-ISA,VISTA
    sábado, 5 de setembro de 2009 18:13
  • Felipe,

    Eu nao sei qual o caso dele.
    Mas por exemplo eu posso pelo ISA publicar externamente a 443 e no meu servidor iunterno estar configurado para a 80 , entende?

    Se for isso que eu entendi é bem facil de fazer...


    abraços
    Luiz Fernando Dias - MVP .::http://lfdias.mvpbrasil.com.br::.::http://lfdias.mvpbrasil.com.br/blog::.
    domingo, 6 de setembro de 2009 04:13
    Moderador
  • Acho que num eh assim não, acho que o primeira comunicação eh feita pela porta 80 e depois a Aplicação tenta estebelecer conexão por outras portas e dai o ISA barra, teoriacamente teria que publicar essas outras portas pelo ISA, so que o  cara num que isso, ele apenas quer que tudo entra e sai pela porta 80, creio eu que então ele teria que ajustar essa aplicação pra fazer isso. Concorda? 
    Fazzani - MCP, MCSA, MCTS-ISA,VISTA
    domingo, 6 de setembro de 2009 04:57
  • Não, num concordo.

    Pq nós podemos publicar a porta 80 para ainternet por exemplo e internamente o acesso ser seguro via 443 ou vice versa...
    IUsso funciona para sites tranquilamente.

    Não sei em questão da aplicação dele como funciona...
    Luiz Fernando Dias - MVP .::http://lfdias.mvpbrasil.com.br::.::http://lfdias.mvpbrasil.com.br/blog::.
    domingo, 6 de setembro de 2009 17:59
    Moderador
  • Eu tenho uma aplicação web que da para ve as cameras da empresa que eh exatamente como que eu disse, ela estabelece conexão pela porta 80, depois e que vc clica no link da camera uma sua maquina faz uma solicitação da camera pela porta exmplo 5500. Como eu faria para fazer solicitar a camera pela porta 80 ao inves da porta 5500??? Somente mudando na aplicação e não no ISA vc não concorda??
    Fazzani - MCP, MCSA, MCTS-ISA,VISTA
    domingo, 6 de setembro de 2009 19:23
  • Encaminhamento de porta acreditoque te ajude...

    Nao sei no caso da sua aplicação...mas no site que eu tenho publicado externo na 443 e a comunicação interna é na 80 e funciona perfeitamente..
    Luiz Fernando Dias - MVP .::http://lfdias.mvpbrasil.com.br::.::http://lfdias.mvpbrasil.com.br/blog::.
    segunda-feira, 7 de setembro de 2009 04:07
    Moderador
  • Nesse seu caso funciona bem, pq a comunicação é só por uma porta, mais se vc tivesse exemplo. nesse seu site uma aplicação que usa a porta 5000, 5001, 4556, não iria ter como vc fazer entrar pela porta oitenta atrvés do ISA e o ISA encaminhar para essa porta. Exemplo seria vc clicar em um link do Site que abre um camera interna da empresa, quando vc clica no Link ele faz uma solicitação pela porta 5000 que chega até o ISA, se o ISA não tiver essa porta publicada a conexão vai ser negada. POr isso que eu te digo, so daria certo se mudar essa porta 5000 para 80 na aplicação, ai sim quando clicar no link a solicitaçpão seria pela porta 80.

    Pegou??
    Fazzani - MCP, MCSA, MCTS-ISA,VISTA
    segunda-feira, 7 de setembro de 2009 23:32
  • Felipe,

    Esse tipo de aplicação que vc esta descevendo é vista como um aplicação que deve ser acessada via VPN pq é mto mal desenvolvida...

    Ter diversas portas da maneira q vc citou não é nada comum...

    No meu caso com meus sites esse encaminhamento de porta funciona perfeitamente...


    abraços
    Luiz Fernando Dias - MVP .::http://lfdias.mvpbrasil.com.br::.::http://lfdias.mvpbrasil.com.br/blog::.
    terça-feira, 8 de setembro de 2009 02:13
    Moderador
  • Num faz sentido acessar via vpn se eh uma aplicação web, desenvolvida para acessar via web, sendo que o primeiro acesso e a autenticação é feita via https. A aplicação é da geovision http://www.geovision.com.tw/portuguese/index.htm. Muitos sites que tem streaming de video precisa de outras portas que não seja 80 e 443.


    Flw
     


    Fazzani - MCP, MCSA, MCTS-ISA,VISTA
    terça-feira, 8 de setembro de 2009 02:34
  • Só pq é um aplaicação WEB quer dizer que foi bem escrita e planejada???
    Só pq é geovision garante esses quesitos também?

    é visivel que o desenvolvedor e o arquiteto da solução nao se preocupou nao se preocuparam nem um pouco...

    Agora seria necessário verificar o manual para ver se existe alguam explicação sobre isso...o motivo....

    Perdeu-se totalmente o foco do post..

    Junior, vc sabe nos explicar como funciona a aplicação?


    abraços
    Luiz Fernando Dias - MVP .::http://lfdias.mvpbrasil.com.br::.::http://lfdias.mvpbrasil.com.br/blog::.
    terça-feira, 8 de setembro de 2009 12:30
    Moderador
  • Pessoal,

    Desculpem a demora, embora o interesse seja maior de minha parte rsrs

    Mas é que as coisas estão corridas e na verdade essa dúvida era para ajudar em uma solução de outra célula da empresa.

    Bom, mas vamos lá!

    A solução trabalha exatamente como no exemplo do Felipe, é criado um site e eu publico ele pela porta 80, pois é o único acesso que os usuários do cliente possuem.

    Porém no meio do caminho a aplicação abre uma conexao pela porta 9999 por exemplo, portanto na hora que ela sai do meu ambiente e bate do firewall do cliente ela é barrada.

    Na aplicação já vimos que não dá para mudar a porta, ou portas... mas eu gostaria de saber se caso eu tivesse todas as portas que ela usa eu poderia criar uma regra tipo:

    SOLICITAÇÃO PORTA 80 >> CONEXAO OK >> SOLICITACAO PORTA 9999 >> ENCAMINHA PARA PORTA 80 E TRANSFERIR.

    Enfim, como disse, é mais uma questão de curiosidade, pois temos vários exemplos que podem se encaixar nesse problema e no futuro pode ser o meu rs.

    Muito obrigado!

    abs
    sexta-feira, 11 de setembro de 2009 18:24
  • Então amigão, o que vc deve fazer é uma publicação de servidor apontando o IP e a porta. Somente isso. Teste em uma conexão direta com a internet no Cliente.

    Se não funcionar é que vc não publicou a porta correta, dai vc tem que fazer um monitoring para verificar quais portas o isa ta bloqueando e depois e so publicar essas portas.


    Se foi util marque como resposta


    Fazzani - MCP, MCSA, MCTS-ISA,VISTA
    sexta-feira, 11 de setembro de 2009 19:41
  • Pera ai...

    A requisição chega a sair do seu ambeinte entao????

    "...que ela sai do meu ambiente e bate do firewall do cliente ela é barrada."  se a situação for essa quem tem que liberar a porta 9999 de entrada é o seu cliente e não você...


    no aguardo.


    Luiz Fernando Dias - MVP .::http://lfdias.mvpbrasil.com.br::.::http://lfdias.mvpbrasil.com.br/blog::.
    sexta-feira, 11 de setembro de 2009 20:31
    Moderador
  • Luiz,

    É exatamente isso, ela sai, eu vejo ela saindo... de minha parte está ok.

    Porém, do outro lado está a nossa amiga PETROBRAS e seu magnifico departamento publico de TI rsrs

    Eles dizem que sua politica de segurança não permite, e segundo histórico nós até conseguiriamos que eles liberassem, depois de uns 2, 3 meses...

    Eu sei que o correto é eles abrirem a porta, ou que a aplicação não ficasse abrindo outras portas, mas a duvida na real era saber se eu consegia "tunelar" uma porta atravez de outra...

    Grande abraço.
    terça-feira, 15 de setembro de 2009 13:56
  • Ahhh entao o problema nao esta no ISA...

    Cara vc teria que encapsular essa porta X da sua aplicação dentro da 80 por ex...

    Eu sinceramente nunca fiz isso pelo ISA e nao sei se daria ou nao, e se funciona....mas em todo caso vale a leitura desse documento:

    http://support.microsoft.com/kb/283284/pt-br

    abraços
    Luiz Fernando Dias - MVP .::http://lfdias.mvpbrasil.com.br::.::http://lfdias.mvpbrasil.com.br/blog::.
    terça-feira, 15 de setembro de 2009 19:55
    Moderador