Zum Inhalt springen

Empfohlene Beiträge

Geschrieben

Hallo

wir wollen bei uns in der Firma einen ISA server installieren um Webzugriffe zu kontrollieren. Dieser soll vor der Firewall stehen.

Gibt es eine möglichkeit, oder welche Einstellung muß man vornehmen damit wir diesen ISA - Server in die Domäne mit aufnehmen können.

Kann den Domänencontroller mit seiner IP- Adresse anpingen, den Namen aber nicht

kann mir jemand weiterhelfen?

Geschrieben

der isa-server wird wohl eher in der dmz stehen...

nbt ist auf der firewall 100% gedropt... also kannste den namen auch net anpingen... musste mit dem fw-verwalter reden... er soll die nbt freischalten...

Geschrieben

Danke mal für eure antworten,

Ja ISA - Server steht vor der Firewall wenn man es von aussen betrachtet

habs selber geschafft.

Hab den Server einfach mal so ins Netz gestellt und in die Domäne aufgenommen und danach wieder mit einem Bein in die DMZ und mit der anderen ins Internet.

Und das hat wunderbar funktioniert.

Geschrieben
Originally posted by stunned

nbt ist auf der firewall 100% gedropt... also kannste den namen auch net anpingen... musste mit dem fw-verwalter reden... er soll die nbt freischalten...

Sorry, aber das stimmt so nicht.

Ping ist ein TCP/IP Tool, um genau zu sein, es handelt sich um das im TCP/IP-Stack enthaltene Protokoll ICMP. Ping nutzt allein den DNS-Server/die hosts-Datei zur Namensaufloesung.

Wenn ein Rechner nicht angepingt werden kann, dann werden ICMP-Nachrichten von einer Firewall gedropt.

NBT (NetBIOS Over TCP/IP) ist hier absolut nicht noetig.

NBT brauchst Du nur in Windows-Netzwerken, um dort Datei- und Druckerfreigaben im Netzwerk anzeigen und nutzen zu koennen. Fuer den in letzter Zeit etwas in Verruf geratenen Nachrichtendienst ist NBT auch erforderlich.

Auch brauchst Du NBT bei den windows-eigenen net-Befehlen (net use, net user etc.).;)

Geschrieben

Hallo,

Du benötigsts kein NetBIOS zwischen dem lokalen Netz und der DMZ, da die DMZ in einer sinnvollen Konfiguration sich eh von dem internen Netz unterscheidet, also durch einen Router verbunden ist. Müsstest also entweder WINS Server benutzen um den Namen aufzulösen, was in der DMZ nicht vorkommt, oder ein relay agent benutzen.. Wenn du den Namen nicht pingen kannst (in einer DNS Zone) hast du diesen Rechner auch nicht ins DNS mit aufgenommen. NBT ist in einer Arbeitsgruppe recht sinnvoll, da man nicht recht viel konfigurieren muss, jedoch in dieser Konfiguration (in Richtung DMZ), nicht sinnvoll.

ICMP bewegt sich grundsätzlich auf Layer 3 ( IP nicht TCP). Die Namensauflösung geschieht auf höheren Layers. Hast du keinen DNS Server manuell definiert kannst du keine Namen auflösen (@hades). Und wie/warum sollte die Firewall Pakete droppen, nur weil der Rechner nicht erreichbar ist? Das einzige was sinnvoll wäre ist es zu verbieten 'Destination Unreachable' Nachrichten mit enthaltenen administrativ Verboten Codes zu verbieten, da dies die Firewall entlarven kann.

Die "stateful inspection engine" von Checkpoint.....

Hmm. Stateful Inspection ist ein "Leistungsmerkmal". Wird NBT auf einer Firewall gedroppt ist es entweder explizit verboten oder explizit nicht erlaubt!

Das hat nichts mit Checkpoint 1 zu tun.

Geschrieben

stunned, ich glaube eher, dass Du da etwas durcheinander bringst.

Du kannst das gerne nachpruefen, indem Du die Ports 137-139 (NBT) nach aussen dicht machst und ping mit einem Namen ausprobierst.

Da das eigentliche Ausgangsproblem bereits geloest ist und wir damit mehr und mehr vom eigentlichen Thema abdriften, mache ich hier zu.

~~~closed~~~

Gast
Dieses Thema wurde nun für weitere Antworten gesperrt.

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...