Isa 2004 ftp client connect niet (up/down)

Ik heb op got & google gezocht, en artikel http://www.isaserver.org/...es_Firewall_Security.html gelezen.

Bij het opzetten van onze isa server loop ik tegen het volgende probleem aan. Het naar buiten ftp up/down werkt niet via een ftp client (total commander, leechFTP, filezilla). Ik heb diverse configuratie geprobeerd maar niets helpt, het is net of ik iets stoms over het hoofd zie. De werkplekken zijn als natclients geconfigureerd Zonder de isa client, dat is een eis!

Als ik een ftp site benader met IE werkt het wel weer (browser instellen op disable folder view & passive mode). De server aanzich is een HP server met 3 nic’s windows 2003 en ISA standaard sp1, hardware is niet het probleem.

De volgende rule moet zorgen voor internet verkeer. Proto ftp http https iternal – external - Domain Users. Dit zijn de ongedefinieerde rules in isa met aangepast applicatie filter (ftp read disabled)

PLz help!

In de logging kan ik alleen maar requests ontdekken die over http gedaan worden. Als extra filter heb ik het ip adres van mijn werkplek ingevoerd.
Het moet toch gewoon mogelijk zijn te ftp-en met totalcommander of leechFTP zonder de firewall client te gebruiken (dan werkt het namelijk wel).

Zelf ben ik goed thuis in ipfilter (freebsd). Ik zou graag dezelfde functionaliteit willen als ik daar heb. Dus op basis van ip filtering een regel opstellen die met (FTP ed?) toegang verschaft zonder dat ik eigenlijk een proxy hoef in te stellen in software 3e.

Verwijderd schreef op woensdag 22 juni 2005 @ 10:39:
Rechtermuis op de acces rule/ configure ftp / ff het read-only vinkje uit.

Laat ff weten of dat hem was svp..

Nee, dit zou te makkelijk zijn toch

Ik wil echt naar buiten ftp-en met een ftpclient. En bij voorkeur geen proxy instellingen in de software hoeven maken. Hoe kan ik immers een website uploaden zonder de proxy client te gebruiken (dit is een eis). Communicatie via secureNat.

Ik heb een custom proto aangemaakt (dat ook niet helpt)
pri out 21
in 0
out 1024-65534

Met firefox gaat het benaderen van FTP sites goed. Geen probleem.

[ Voor 9% gewijzigd door Verwijderd op 22-06-2005 11:52 ]

Pumbaa schreef op woensdag 22 juni 2005 @ 10:58:
[...]

Heb je ingesteld dat alleen authenticated users gebruik mogen maken van de rule ?
Je meldt nl. dat je met firewall client wel kan ftpen maar zonder niet.

Als je de client niet wil gebruiken (secureNAT) kan je ook niet op gebruikers niveau controleren.

Domain users hebben toegang, met firefox mag ik ook zo het internet op.
FTP via IE, ofwel via het webproxy filter gaat wel goed.
Gebruikers niveau ?! Ik filter op ip adres als ik iets wil zien in mijn loggings (als je dat bedoelt)

Opgelost

Een conflicterende rule, die alles van de admin group naar buiten zou doorlaten zat voor de FTP rule. Hierdoor werd het pakketje geforward zonder intelligentie nog te weten dat het ftp betreft (correct me if im wrong). Omdat het een admin rule betreft stond te logging uit Ik heb deze rule nu naar beneden verplaatst en het werkt. Wat me wel tegenstond is dat securenat geen ondersteuning voor groepen uit AD heeft, nu moet ik alles op IP adres doen, alternativen? (nee geen fwc)
Verder vraag ik me af hoe ik alles kan doorlaten naar buiten van de admin ips zonder dit soort lastige protocollen over het hoofd te zien? De bedoeling was goed maar uitvoering iets minder....

Rolfie schreef op woensdag 22 juni 2005 @ 14:59:
Je kan op een secure client inderdaad geen rechten gebruiken op user nivo. Hierover is voldoende te vinden www.isaserver.org. Als je dit wilt dan moet je de Firewall Client gaan gebruiken. Deze werkt redelijk goed. Mits ISA goed ingesteld is. Je hebt er meestal wel wat meer beheer aan.
Dat je de secure Nat Client niet kunt gebruiken is eigenlijk ook logisch. Hoe kan je immers aan een TCP/IP paktje zien van welke groep de gebruiker lid is?

Even ter illustratie:

Een rule die ping icmp verkeer doorlaat van intern -> extern gekoppeld aan domain users gaat dus niet werken. (zonder fwc)

Koppel ik dezelfde rule aan de all users is iedereen instaat om te pingen naar buiten mits de default gateway naar de firewall gaat. (securenat opstelling)

Right!?

[ Voor 4% gewijzigd door Verwijderd op 22-06-2005 17:05 ]