none
Правила доступа RRS feed

  • Вопрос

  • Задумался о понятиях Access Rule (Правило доступа) в ISA 2006, видимо я не совсем пониманию его значение.
    Если мне нужно открыть несколько портов для какого то хоста из Интернета к определенному серверу во внутренней сети, я создаю разрешающее правило Allow - Port1,Port2 - Internet Host - Internal Host - All users
    Достаточно ли этого, чтобы этот трафик пошел на нужный сервер в сети?
    Или нужно еще сетевое правило создать (маршрут)?
    Или правила публикации протокола не веб сервера?

    Конфигурация ISA - пограничный сетевой экран

    • Изменено Ivan Bogachev 26 августа 2009 г. 10:49
    26 августа 2009 г. 10:43

Ответы

  • Если сервер за ISA находится в маршрутизируемой сети (т.е., отношения между сетью сервера и внешней сетью "route", а не "NAT"), то будет достаточно правила по приведенному Вами примеру (только там будет "from External to Selected Hosts", например), в противном же случае потребуется правило публикации. Отношения между сетями должны быть определены.
    Спасибо моей жене Кате, Клевогину С.П., Козлову С.В., Муравлянникову Н.А., Никитину И.Г., Шапиро Л.В. за мои знания! :)
    26 августа 2009 г. 11:16
    Отвечающий

Все ответы

  • Если сервер за ISA находится в маршрутизируемой сети (т.е., отношения между сетью сервера и внешней сетью "route", а не "NAT"), то будет достаточно правила по приведенному Вами примеру (только там будет "from External to Selected Hosts", например), в противном же случае потребуется правило публикации. Отношения между сетями должны быть определены.
    Спасибо моей жене Кате, Клевогину С.П., Козлову С.В., Муравлянникову Н.А., Никитину И.Г., Шапиро Л.В. за мои знания! :)
    26 августа 2009 г. 11:16
    Отвечающий
  • странный вопрос для человека mcp со статусом "партнер микрософт" и работающего у интегратора :)

    26 августа 2009 г. 11:40
    Отвечающий
  • почему "from External to Selected Hosts"?  мне нужно порты открыть только для одной организации, а не для всего Интернета )
    26 августа 2009 г. 12:30
  • О, Дмитрий, я прям ожидал такого комментария! 
    Ну... я только учусь, и по ISA еще не сертифицировался ))
    26 августа 2009 г. 12:32
  • Да, Иван, я "очитался", увидел "Internal Internal". :)


    Спасибо моей жене Кате, Клевогину С.П., Козлову С.В., Муравлянникову Н.А., Никитину И.Г., Шапиро Л.В. за мои знания! :)
    26 августа 2009 г. 12:36
    Отвечающий
  • ну по исе достаточно понятные и простые книжки и про правила там все хорошо написано :)
    ps а сертифицироваться по ней и смысла то немного, продукт совсем не сложный, я б даже сказал простой :)

    26 августа 2009 г. 13:09
    Отвечающий
  • Дим, зацени как к тебе обращаются: "О, Дмитрий, <...>!". :))
    Спасибо моей жене Кате, Клевогину С.П., Козлову С.В., Муравлянникову Н.А., Никитину И.Г., Шапиро Л.В. за мои знания! :)
    26 августа 2009 г. 13:47
    Отвечающий
  • ага, аж самому страшно :)

    26 августа 2009 г. 13:58
    Отвечающий
  • Прошу прощения, Дмитрий, еще не понял до конца.
    Отнешения между Внутренней и Внешней сетью - NAT. Т.е сети не маршрутизируемые.
    Если мне нужно открыть диапазон портов для удаленного сервера в Интернете к серверу во внутренней сети, тогда я создаю правило публикации для этого протокола (который содержит этот диапазон портов), верно?
    А если мне нужно разрешить весь трафик между этими серверами? (например для тестирования), то я создаю правило публикации для протокола с портами 0 - 65535 ?
    Как же будут работать другие правила публикации в таком случае?

    28 августа 2009 г. 11:09
  • конечно никак, публиковать надо конкретные протоколы, все то тебе зачем?
    а если тебе нужно совсем все порты (то есть будто сервак не за натом, а напрямую во внешке торчит) то это уже называется static nat - один внутренний сервак мапится на один внешний ип, но для корректной работы нужен другой внешний ип :)
    28 августа 2009 г. 12:14
    Отвечающий
  • Дополнение
    Описываемую Дмитрием конфигурацию Static NAT нельзя реализовать в ISA Server. Частично этот функционал поддерживается только в Forefront TMG 2010.


    SINITSYN.ORG /{Бинарный} Форпост/ - Блог с фокусом на ISA Server, Forefront TMG, RMS и Windows Security
    31 августа 2009 г. 20:31
  • а в rras сделать не получится?

    а что tmg уже переименовали в tmg 2010? или это следующий продукт?

    1 сентября 2009 г. 11:41
    Отвечающий