ISA Server vor der Firewall

[Nachtfalke]

Hallo

wir wollen bei uns in der Firma einen ISA server installieren um Webzugriffe zu kontrollieren. Dieser soll vor der Firewall stehen.

Gibt es eine möglichkeit, oder welche Einstellung muß man vornehmen damit wir diesen ISA - Server in die Domäne mit aufnehmen können.

Kann den Domänencontroller mit seiner IP- Adresse anpingen, den Namen aber nicht

kann mir jemand weiterhelfen?

[geloescht_JesterDay]

Vor der Firewall aus welcher Richtung jetzt? Von aussen oder von eurem Netz aus gesehen?

Wenn die IP geht aber der Name nicht, stimmt wohl was mit der Verbindung zum DNS nicht.

[stunned]

der isa-server wird wohl eher in der dmz stehen...

nbt ist auf der firewall 100% gedropt... also kannste den namen auch net anpingen... musste mit dem fw-verwalter reden... er soll die nbt freischalten...

[Nachtfalke]

Danke mal für eure antworten,

Ja ISA - Server steht vor der Firewall wenn man es von aussen betrachtet

habs selber geschafft.

Hab den Server einfach mal so ins Netz gestellt und in die Domäne aufgenommen und danach wieder mit einem Bein in die DMZ und mit der anderen ins Internet.

Und das hat wunderbar funktioniert.

[hades]

Originally posted by stunned

nbt ist auf der firewall 100% gedropt... also kannste den namen auch net anpingen... musste mit dem fw-verwalter reden... er soll die nbt freischalten...

Sorry, aber das stimmt so nicht.

Ping ist ein TCP/IP Tool, um genau zu sein, es handelt sich um das im TCP/IP-Stack enthaltene Protokoll ICMP. Ping nutzt allein den DNS-Server/die hosts-Datei zur Namensaufloesung.

Wenn ein Rechner nicht angepingt werden kann, dann werden ICMP-Nachrichten von einer Firewall gedropt.

NBT (NetBIOS Over TCP/IP) ist hier absolut nicht noetig.

NBT brauchst Du nur in Windows-Netzwerken, um dort Datei- und Druckerfreigaben im Netzwerk anzeigen und nutzen zu koennen. Fuer den in letzter Zeit etwas in Verruf geratenen Nachrichtendienst ist NBT auch erforderlich.

Auch brauchst Du NBT bei den windows-eigenen net-Befehlen (net use, net user etc.).

[stunned]

sorry aber ich glaube da liegst du nicht ganz richtig... bei der stateful inspection engine von checkpoint ist es so wie ich es erklärt habe...

[stunned]

er braucht das nbt um den nbt-namen aufzulösen, und wenn nbt auf der fw gedropt wird kann er dies auch nicht tun...

[daking]

Hallo,

Du benötigsts kein NetBIOS zwischen dem lokalen Netz und der DMZ, da die DMZ in einer sinnvollen Konfiguration sich eh von dem internen Netz unterscheidet, also durch einen Router verbunden ist. Müsstest also entweder WINS Server benutzen um den Namen aufzulösen, was in der DMZ nicht vorkommt, oder ein relay agent benutzen.. Wenn du den Namen nicht pingen kannst (in einer DNS Zone) hast du diesen Rechner auch nicht ins DNS mit aufgenommen. NBT ist in einer Arbeitsgruppe recht sinnvoll, da man nicht recht viel konfigurieren muss, jedoch in dieser Konfiguration (in Richtung DMZ), nicht sinnvoll.

ICMP bewegt sich grundsätzlich auf Layer 3 ( IP nicht TCP). Die Namensauflösung geschieht auf höheren Layers. Hast du keinen DNS Server manuell definiert kannst du keine Namen auflösen (@hades). Und wie/warum sollte die Firewall Pakete droppen, nur weil der Rechner nicht erreichbar ist? Das einzige was sinnvoll wäre ist es zu verbieten 'Destination Unreachable' Nachrichten mit enthaltenen administrativ Verboten Codes zu verbieten, da dies die Firewall entlarven kann.

Die "stateful inspection engine" von Checkpoint.....

Hmm. Stateful Inspection ist ein "Leistungsmerkmal". Wird NBT auf einer Firewall gedroppt ist es entweder explizit verboten oder explizit nicht erlaubt!

Das hat nichts mit Checkpoint 1 zu tun.

[hades]

stunned, ich glaube eher, dass Du da etwas durcheinander bringst.

Du kannst das gerne nachpruefen, indem Du die Ports 137-139 (NBT) nach aussen dicht machst und ping mit einem Namen ausprobierst.

Da das eigentliche Ausgangsproblem bereits geloest ist und wir damit mehr und mehr vom eigentlichen Thema abdriften, mache ich hier zu.

~~~closed~~~