Toon posts:

Isa 2004 ftp client connect niet (up/down)

Pagina: 1
Acties:

Verwijderd

Topicstarter
Ik heb op got & google gezocht, en artikel http://www.isaserver.org/...es_Firewall_Security.html gelezen.

Bij het opzetten van onze isa server loop ik tegen het volgende probleem aan. Het naar buiten ftp up/down werkt niet via een ftp client (total commander, leechFTP, filezilla). Ik heb diverse configuratie geprobeerd maar niets helpt, het is net of ik iets stoms over het hoofd zie. De werkplekken zijn als natclients geconfigureerd Zonder de isa client, dat is een eis!

Als ik een ftp site benader met IE werkt het wel weer (browser instellen op disable folder view & passive mode). De server aanzich is een HP server met 3 nic’s windows 2003 en ISA standaard sp1, hardware is niet het probleem.

De volgende rule moet zorgen voor internet verkeer. Proto ftp http https iternal – external - Domain Users. Dit zijn de ongedefinieerde rules in isa met aangepast applicatie filter (ftp read disabled)

PLz help!

  • Zwelgje
  • Registratie: November 2000
  • Laatst online: 20-01 19:37
als je eens (als test) alles opengooid dus alles van binnen naar buiten voor 'all users' werkt het dan wel :?

en in je huidige configuratie wat zie je bij monitoring>logging staan :? daarin zou je moeten kunnen zien waar het mis gaat

A wise man's life is based around fuck you


Verwijderd

Ik heb deze problemen ook gehad. En geen oplossing gevonden niet die o peen herinstallatie uitdraaide.

[ Voor 67% gewijzigd door Verwijderd op 21-06-2005 23:20 ]


Verwijderd

Topicstarter
In de logging kan ik alleen maar requests ontdekken die over http gedaan worden. Als extra filter heb ik het ip adres van mijn werkplek ingevoerd.
Het moet toch gewoon mogelijk zijn te ftp-en met totalcommander of leechFTP zonder de firewall client te gebruiken (dan werkt het namelijk wel).

Zelf ben ik goed thuis in ipfilter (freebsd). Ik zou graag dezelfde functionaliteit willen als ik daar heb. Dus op basis van ip filtering een regel opstellen die met (FTP ed?) toegang verschaft zonder dat ik eigenlijk een proxy hoef in te stellen in software 3e.

  • Rolfie
  • Registratie: Oktober 2003
  • Laatst online: 11:42
Probeer eens te browsen moet Firefox. Ik heb een vermoeden dat dan een popup krijgt om in te loggen. Daar verwacht ik ook je problemen. Waarschijnlijk staat authenticatie aan op je isa server. IE geeft dit automatisch door, een FTP client (en firefox) niet.

Verwijderd

Oef waar zat dat vinkje ook weer.

Er zit in isa2k4 een vinkje mbt ftp toegang. Het zit op een vage plek ga wel ff zoeken.

Verwijderd

Rechtermuis op de acces rule/ configure ftp / ff het read-only vinkje uit.

Laat ff weten of dat hem was svp..

[ Voor 21% gewijzigd door Verwijderd op 22-06-2005 10:40 ]


  • Muppet
  • Registratie: Maart 2001
  • Laatst online: 10-09-2024

Muppet

GT: Beestig

ten eerste dont shoot me ik heb meer ervaring met ISA 2000 dan 2004.

Als je geen ISA client gebruikt dan ziet hij jou als Secure NAT client en niet als Proxy client. Secure NAT Clients hebben de ISA als Default Gateway.

Probleem bij jou is denk ik de "Domain Users". Als Secure NAT client ziet de ISA jou dacht ik als "anonymous". Probeer hier eens "all users" van te maken en kijken eens wat er in de Logfiles staat?

Bij IE werkt als enige intergrated authentication. Die geeft je username mee naar de ISA server maar alle overige clients doen dat niet.

[ Voor 18% gewijzigd door Muppet op 22-06-2005 10:52 ]

There is no art to find the minds construction in the face


  • Pumbaa82
  • Registratie: Maart 2001
  • Laatst online: 21-03-2024
Rechtermuis op de acces rule/ configure ftp / ff het read-only vinkje uit.

Laat ff weten of dat hem was svp..
Die bedoelt ie niet want hij kan ook niet downloaden.
Dat vinkje die jij bedoelt is enkel voor uploaden.

Heb je ingesteld dat alleen authenticated users gebruik mogen maken van de rule ?
Je meldt nl. dat je met firewall client wel kan ftpen maar zonder niet.

Als je de client niet wil gebruiken (secureNAT) kan je ook niet op gebruikers niveau controleren.


persoonlijk kan ik adviseren de firewall client wel te gebruiken, er zijn slechts zeer weinig situaties waarin het een 'probleem' zou veroorzaken.

Heb net een afstudeer project (zeer succesvol) afgerond waarin een ISA 2000 server moest worden vervangen door een ISA 2004 server.
Met als eis dat gebruikers geidentificeerd moeten worden. (enigste optie is dan de FWC, webproxy wil je niet echt;) ) En dan nog kan je bepaalde systemen in securenat zetten

Verwijderd

Pumbaa schreef op woensdag 22 juni 2005 @ 10:58:
[...]


Die bedoelt ie niet want hij kan ook niet downloaden.
Via IE werkt down wel prima schrijft hij, FTP-applicaties hebben dat vinkje nodig.

Verwijderd

Topicstarter
Verwijderd schreef op woensdag 22 juni 2005 @ 10:39:
Rechtermuis op de acces rule/ configure ftp / ff het read-only vinkje uit.

Laat ff weten of dat hem was svp..
Nee, dit zou te makkelijk zijn toch ;)

Ik wil echt naar buiten ftp-en met een ftpclient. En bij voorkeur geen proxy instellingen in de software hoeven maken. Hoe kan ik immers een website uploaden zonder de proxy client te gebruiken (dit is een eis). Communicatie via secureNat.

Ik heb een custom proto aangemaakt (dat ook niet helpt)
pri out 21
in 0
out 1024-65534

Met firefox gaat het benaderen van FTP sites goed. Geen probleem.

[ Voor 9% gewijzigd door Verwijderd op 22-06-2005 11:52 ]


  • Pumbaa82
  • Registratie: Maart 2001
  • Laatst online: 21-03-2024
Heb je ingesteld dat alleen authenticated users gebruik mogen maken van de rule ?
Je meldt nl. dat je met firewall client wel kan ftpen maar zonder niet.

Als je de client niet wil gebruiken (secureNAT) kan je ook niet op gebruikers niveau controleren.
:X

Verwijderd

Topicstarter
Pumbaa schreef op woensdag 22 juni 2005 @ 10:58:
[...]

Heb je ingesteld dat alleen authenticated users gebruik mogen maken van de rule ?
Je meldt nl. dat je met firewall client wel kan ftpen maar zonder niet.

Als je de client niet wil gebruiken (secureNAT) kan je ook niet op gebruikers niveau controleren.
Domain users hebben toegang, met firefox mag ik ook zo het internet op.
FTP via IE, ofwel via het webproxy filter gaat wel goed.
Gebruikers niveau ?! Ik filter op ip adres als ik iets wil zien in mijn loggings (als je dat bedoelt)

Verwijderd

Topicstarter
Opgelost 8)7

Een conflicterende rule, die alles van de admin group naar buiten zou doorlaten zat voor de FTP rule. Hierdoor werd het pakketje geforward zonder intelligentie nog te weten dat het ftp betreft (correct me if im wrong). Omdat het een admin rule betreft stond te logging uit |:( Ik heb deze rule nu naar beneden verplaatst en het werkt. Wat me wel tegenstond is dat securenat geen ondersteuning voor groepen uit AD heeft, nu moet ik alles op IP adres doen, alternativen? (nee geen fwc)
Verder vraag ik me af hoe ik alles kan doorlaten naar buiten van de admin ips zonder dit soort lastige protocollen over het hoofd te zien? De bedoeling was goed maar uitvoering iets minder....

  • Rolfie
  • Registratie: Oktober 2003
  • Laatst online: 11:42
Je kan op een secure client inderdaad geen rechten gebruiken op user nivo. Hierover is voldoende te vinden www.isaserver.org. Als je dit wilt dan moet je de Firewall Client gaan gebruiken. Deze werkt redelijk goed. Mits ISA goed ingesteld is. Je hebt er meestal wel wat meer beheer aan.
Dat je de secure Nat Client niet kunt gebruiken is eigenlijk ook logisch. Hoe kan je immers aan een TCP/IP paktje zien van welke groep de gebruiker lid is?

Verwijderd

Topicstarter
Rolfie schreef op woensdag 22 juni 2005 @ 14:59:
Je kan op een secure client inderdaad geen rechten gebruiken op user nivo. Hierover is voldoende te vinden www.isaserver.org. Als je dit wilt dan moet je de Firewall Client gaan gebruiken. Deze werkt redelijk goed. Mits ISA goed ingesteld is. Je hebt er meestal wel wat meer beheer aan.
Dat je de secure Nat Client niet kunt gebruiken is eigenlijk ook logisch. Hoe kan je immers aan een TCP/IP paktje zien van welke groep de gebruiker lid is?
Even ter illustratie:

Een rule die ping icmp verkeer doorlaat van intern -> extern gekoppeld aan domain users gaat dus niet werken. (zonder fwc)

Koppel ik dezelfde rule aan de all users is iedereen instaat om te pingen naar buiten mits de default gateway naar de firewall gaat. (securenat opstelling)

Right!?

[ Voor 4% gewijzigd door Verwijderd op 22-06-2005 17:05 ]


  • Muppet
  • Registratie: Maart 2001
  • Laatst online: 10-09-2024

Muppet

GT: Beestig

right :D

There is no art to find the minds construction in the face

Pagina: 1