ISA Server met meerdere public ip's

Het handigst is mijns inziens het door de ISA-server laten routeren/controleren van de overige publieke IP's en deze gewoon toekennen aan je servers. Wat je overhoudt bewaar je voor de toekomst, zo heb je ook nog ruimte om uit te breiden eventueel.

Adressen doormappen is niet erg nuttig met meerdere publieke IP's - wat je dan doet is elke host in een eigen DMZ plaatsen. Het kan wel, maar is niet logisch en gaat je denk ik meer werk opleveren dan een standaard routering- en firewall setup.

Verwijderd schreef op maandag 13 februari 2006 @ 23:49:
Het handigst is mijns inziens het door de ISA-server laten routeren/controleren van de overige publieke IP's en deze gewoon toekennen aan je servers. Wat je overhoudt bewaar je voor de toekomst, zo heb je ook nog ruimte om uit te breiden eventueel.

Adressen doormappen is niet erg nuttig met meerdere publieke IP's - wat je dan doet is elke host in een eigen DMZ plaatsen. Het kan wel, maar is niet logisch en gaat je denk ik meer werk opleveren dan een standaard routering- en firewall setup.

isa server laten routeren van externe nummers is waarschijnlijk niet mogelijk. Of dit mogelijk is ligt helemaal aan hoeveel controle je hebt over de externe ip nummers die je hebt (e.g. als je de router niet beheert en de router staat ingesteld op een /28 netwerk, kan je niks routeren op isa omdat er niets aankomt op je isa server, behalve het ene ip wat er geconfigged is).

Het is natuurlijk BS dat als je addressen doormapt elke host in een eigen dmz zet, teveel met thuisroutertjes gewerkt waarschijnlijk

Ik zou de externe addressen gewoon op de externe interface van je isa server toevoegen en alleen de porten, die je nodig hebt, forwarden naar je servers. Zo hou je alle troep aan de buitenkant en gaat alleen het benodigde verkeer naar binnen + je benut je isa server ten volle zonder trucken uit te gaan halen (externe nummers binnen gebruiken betekent ook dat je de standaard NAT die isa doet eruit moet slopen). Voor bijv. https sites is deze methode ook nog eens veel meer secure, aangezien je dan gewoon de reverse proxy functionaliteit kan gebruiken.

volgens mij moet dat mogelijk zijn, maar ik heb eigenlijk alleen isa met meerdere ip's gebruikt voor webservers en heb dus nooit de "terugweg" hoeven te configgen.

Verwijderd schreef op dinsdag 14 februari 2006 @ 13:26:
[...]


isa server laten routeren van externe nummers is waarschijnlijk niet mogelijk. Of dit mogelijk is ligt helemaal aan hoeveel controle je hebt over de externe ip nummers die je hebt (e.g. als je de router niet beheert en de router staat ingesteld op een /28 netwerk, kan je niks routeren op isa omdat er niets aankomt op je isa server, behalve het ene ip wat er geconfigged is).

Het is natuurlijk BS dat als je addressen doormapt elke host in een eigen dmz zet, teveel met thuisroutertjes gewerkt waarschijnlijk

Van dat eerste ga ik wel uit; immers de vraag was ook niet of het mogelijk was maar wat handiger was. Waarom het laatste 'natuurlijk BS is' begrijp ik ook niet helemaal, dat is namelijk wel degelijk wat er gebeurt als je publieke IP's naar interne IP's doormapt. Je laatste conclusie vind ik dan ook een beetje stom staan.

Maar back on track: bij wat jij zegt ga je dus tweedubbel zitten forwarden - van de router naar ISA en van de ISA naar servers. Zie ik het nut niet direct van in.

chz: omdat je dat van die router niet snapt, bedoelt hij dat je teveel met HTK routers werkt.
Een router is in dit verhaal gewoon een netwerk apparaat dat IP verkeer van één interfeest naar een ander interfeest stuurt, en de router in dit voorbeeld "forward" dus helemaal niets: hij routeert netjes verkeer voor (bijvoorbeeld) 254.123.252.321 netjes naar de ISA bak zonder NAT te doen. In zo'n zelfde config vind je veel netwerk van bedrijven met meerdere IPs: de router is gelijk HDSL of SDSL modem (bijv. een Cisco 828) en routeert een subnetje.


De ISA bak zou vrvolgens (althans in mijn optiek) NAT moeten doen en het netwerk waar de servers in wonen zou volgens mij een private IP range moeten hebben, zodat je heel precies kunt opgeven wat er wel en niet door moet. Je kunt ook opteren geen NAT te gebruiken, en de servers de externe IPs geven, en op de ISA bak precies configureren wat er wel en niet door mag. (Dit is volgens mij niet de edge firewall config, maar ik ben wat roestig hierin omdat ik een Watchguard doos gebruik ipv ISA, en ISA is bij mij alleen webproxy)

^{(lap tekst weggehaald, laat mij maar lekker met thuisroutertjes spelen )}

Enne, mijn bewering dat je dan tweedubbel zit te translaten is inderdaad niet per definitie juist - als OP even aangeeft hoe het precies zit met zijn router kunnen we daar meer over zeggen dunkt me.

[ Voor 86% gewijzigd door Verwijderd op 14-02-2006 21:36 ]

Heb je wel gezocht dan? Het staat letterlijk in de handleiding namelijk (hoofdstuk 5.7.4 - Enabling firewall), en da's toch iets waar je als eerste in kijkt lijkt me.

Ik zou dus lekker alles over die Copperjet laten lopen, en met bovenstaande handleiding denk ik dat je toch wel een heel eind komt m.b.t. het configureren van je routering en firewall. Levert je weer een spare server op ook, ISA komt niet meer in het plaatje voor dan.

Verwijderd schreef op dinsdag 14 februari 2006 @ 17:10:
[...]

Van dat eerste ga ik wel uit; immers de vraag was ook niet of het mogelijk was maar wat handiger was. Waarom het laatste 'natuurlijk BS is' begrijp ik ook niet helemaal, dat is namelijk wel degelijk wat er gebeurt als je publieke IP's naar interne IP's doormapt. Je laatste conclusie vind ik dan ook een beetje stom staan.

Maar back on track: bij wat jij zegt ga je dus tweedubbel zitten forwarden - van de router naar ISA en van de ISA naar servers. Zie ik het nut niet direct van in.

offtopic:
haha dit bewijst nog eens dat je het begrip dmz niet helemaal goed begrijpt en nog steeds vasthoud aan de thuisrouter terminologie
als je een publiek ip 1 op 1 doorzet naar een intern ip zonder enige vorm van portfiltering, zet je niet je server in een dmz, maar zet je hem wagenwijd open. In thuisroutertjes noemen ze dat vaak dmz, maar dat slaat nergens op.

Een dmz is een netwerkje waar je servers inzet die bereikbaar moeten zijn vanaf internet, maar niet in hetzelfde subnet staan als je interne servers/pcs. Op die manier zijn de servers vanaf inet te bereiken (en natuurlijk alleen op de benodigde porten) en mocht er een security breach zijn, dan zitten ze niet direct op je interne netwerk.

@TS: ISA weghalen lijkt me ook niet alles, als je deze toch nodig hebt voor een proxy, bouw je een betere beveiliging dan alleen de "router" te laten firewallen. En zeker voor websites/smtp biedt isa meer functionaliteit dan een portfilter firewall.

[ Voor 12% gewijzigd door Verwijderd op 15-02-2006 14:33 ]

Ok, duidelijk.
Kan ik op deze manier ook nog invloed uitoefenen op met welk ipadres ik naar buiten ga? ik wil bijvoorbeeld dat de mailserver via z'n eigen (externe) IP naar buiten gaat en een werkstation ook via een eigen IP?

Helaas is niet 123 mogelijk met ISA server.

PS het is misschien gemakkelijk als je ook even vermeld of je ISA2000 of ISA 2004 gebruikt. Is een wereld van verschil