FTP Toestaan via ISA 2006 - Serversoftware en clouddiensten

vrijdag 19 september 2008 15:01

Acties:

Topicstarter

Beste GOT-ers,

Ik zit met een probleem waar ik al 3 weken achteraan loop maar nog altijd de oplossing niet van heb gevonden. Ik heb op het werk een Windows 2003 server staan met ISA 2006 erop. Nu heb ik alle client rules geactiveerd en het internet werkt perfect op de manier zoals ik wil, alleen wil de FTP het niet doen!

Ik heb hiervoor al vele internet sites geraadpleegd
zoals microsoft, isaserver.org, boeken van isa 2006 en ook GOT maar ik kan niet vinden wat ik moet hebben (denk ik).
Ik wil het mogelijk maken om FTP toe te staan. Er zijn bijvoorbeeld wel eens sites zoals de driver download site van DELL waar je drivers via FTP kunt downloaden, of de site van Adobe, waar je producten kunt downloaden enz. Maar ook het uploaden naar sites van bijvoorbeeld onze leveranciers, of voor hulp van externe bedrijven moet mogelijk gemaakt worden van alleen ons netwerk. En om onverklaarbare redenen krijg ik dit niet aan de praat. (nu ben ik ook geen isa expert, ik heb gewoon het boek doorgelezen) Ik begrijp dat dit moet kunnen via een acces rule dus ik heb het volgende ingesteld.

Action: Allow
Protocol: FTP
From: Internal
To: External
Condition: All users

En er staat dus FTP poort 21 outbound als ik dit wil editen.
Ik kan hier echter niks aan veranderen!

Als ik me namelijk niet vergis gaat poort 20 toch ook over FTP?

Heeft iemand hier misschien meer verstand van wat ik hier mee zou kunnen doen of veranderen?

vrijdag 19 september 2008 15:03

Acties:

Jazzy

Moderator SSC/PB

Moooooh!

Gebruik de real-time monitoring, probeer te ftp-en en kijk waarom het niet lukt. Lees verder even over active en passive FTP en draai de ISA bpa, die is erg infromatief.

Exchange en Office 365 specialist. Mijn blog.

vrijdag 19 september 2008 16:41

Acties:

pennenlikker

Een deny overulled een allow, misschien heb je ergens een deny bij staan.
En installeer uiteraard de ISA client op de client computer als je op ad niveau gaat werken.
Kunnen de gebruikers wel bijvoorbeeld poort 80 http gebruiken?

*edit ja dus

After implementing Microsoft ISA Server 2006, I was no longer able to FTP files to an external server even though all outbound traffic was being allowed.

Fixing this is as simple as checking a box. The second-to-last rule on your ISA server is probably the "Outbound Access" rule, and it is set to Allow all traffic by default. If you right-click on this rule and choose to "Configure FTP," there is a "Read Only" checkbox which needs to be cleared. Doing this will allow your users to FTP data out of the network.

misschien is het dat.

[ Voor 55% gewijzigd door pennenlikker op 19-09-2008 16:47 ]

Tact is the ability to tell someone to go to hell in such a way that they look forward to the trip

vrijdag 19 september 2008 16:46

Acties:

Zenlung

Op je rules rechtsklikken en dan configure ftp kiezen als het goed is en dan READ ONLY uitvinken
dat zou het moeten oplossen.
kijk dit eens na op je outbound access rule en internet access rule, MAAR het kan ook nog op meerdere rules(zelfgemaakte rules) staan
dus alle rules even rechtsklik - ftp - read only uitzetten

en zoals hierboven ook gezegd, isa bpa draaien (google op ISA BPA, en een van eerste links is de download)
deze laten draaien en deze zegt je dan meteen op welke rules READ ONLY aanstaat

[ Voor 22% gewijzigd door Zenlung op 19-09-2008 16:47 ]

vrijdag 19 september 2008 16:50

Acties:

Pedr0

THC-HiDeOuT schreef op vrijdag 19 september 2008 @ 16:46:
Op je rules rechtsklikken en dan configure ftp kiezen als het goed is en dan READ ONLY uitvinken
dat zou het moeten oplossen.
kijk dit eens na op je outbound access rule en internet access rule, MAAR het kan ook nog op meerdere rules(zelfgemaakte rules) staan
dus alle rules even rechtsklik - ftp - read only uitzetten

en zoals hierboven ook gezegd, isa bpa draaien (google op ISA BPA, en een van eerste links is de download)
deze laten draaien en deze zegt je dan meteen op welke rules READ ONLY aanstaat

Je haalt de woorden uit mijn mond. Dit is een instelling die veel mensen over het hoofd zien!

Build from the Cloud up! | Battletag: NightFly#2112

dinsdag 23 september 2008 10:58

Acties:

fopspeen

Topicstarter

THC-HiDeOuT schreef op vrijdag 19 september 2008 @ 16:46:
Op je rules rechtsklikken en dan configure ftp kiezen als het goed is

Oke, ik heb even gekeken, maar ik kan niet kiezen voor rechtsklik en dan configure FTP.
Als ik de web acces rule bekijk die over FTP en HTTP en HTTPS gaan, kan ik HTTP wel configuren, maar FTP niet, als ik daarintegen naar onze oude isa 2004 server kijk kan ik wel gewoon configure doen. Ook is het feit dat zodra ik properties klik en dan protocol --> FTP --> edit doe, kan ik niks editen..alle knoppen zijn grijs uitgeveegd.

Zit dit soms niet meer in isa 2006 ofzo?

dinsdag 23 september 2008 11:17

Acties:

Vicarious

☑Rekt | ☐ Not rekt

Weliswaar ISA 2004, maar ik heb een tijdje terug dit topic gestart:

ISA Server 2004 en FTP

Misschien dat je hier nog wat info uit kan halen. Ik heb ook nog steeds FTP niet optimaal draaien via ISA.

Vicariously I live while the whole world dies

dinsdag 23 september 2008 12:00

Acties:

fopspeen

Topicstarter

Vicarious schreef op dinsdag 23 september 2008 @ 11:17:
ik heb een tijdje terug dit topic gestart

Ik had het al gezien voor ik mijn eige topic had gestart..Maar kon er niks uithalen dat ik nog kon gebruiken. Evengeod Bedankt

dinsdag 23 september 2008 17:20

Acties:

Vicarious

☑Rekt | ☐ Not rekt

fopspeen schreef op dinsdag 23 september 2008 @ 12:00:
[...]

Ik had het al gezien voor ik mijn eige topic had gestart..Maar kon er niks uithalen dat ik nog kon gebruiken. Evengeod Bedankt

Jammer

Ik zal eens kijken wat ik kan doen als ik weer aan het werk ben volgende week. Heb ook een ISA 2006 server onder beheer van een andere klant.

Vicariously I live while the whole world dies

woensdag 24 september 2008 09:05

Acties:

fopspeen

Topicstarter

Ik heb even de isa best practice tool gedraait, maar daar kwam eigelijk niet veel uit. Ja ik miste een applicatie filter of iets dergerlijks, en un FTP rulke van VPN client stond op read only. Deze heb ik overigens uitgezet dit vinkje! Maar bij de rest kan ik nergens vinkjes van read only zetten of uitzetten, ik heb een ebook van isa 2006 van 1000 pagina's, maar er komt nergens read only voor in combinatie met FTP.

Zover ik kan zien is dat ook niet mogelijk zo'n vinkje uit te zetten in isa 2006 (wel in 2004)

woensdag 24 september 2008 14:03

Acties:

mbaltus

Heb je op het werkstation wel de ISA client geïnstalleerd? anders wordt je niet geauthenticeerd voor FTP en kun je er dus niet uit (of je moet er geen authenticatie opzetten maar het op basis van anoniem al dan niet met IP reeks doen).

Inderdaad even de on-line logging van ISA erop na slaan om te kijken of je verkeer geblockt wordt of iets anders......

The trouble with doing something right the first time is that nobody appreciates how difficult it is

donderdag 25 september 2008 12:06

Acties:

fopspeen

Topicstarter

Hoi mbaltus.

Ja de isa client is geinstalled. En ik heb wel de logging bekeken, snap er niks van.
mijn ftp word geblokkeerd door de acces rule die ik in mijn eerste post heb getypt.
En zover ik kan zien is deze hetzelfde als bij 2004, alleen kan ik FTP niet configureren.

Dus ik snap niet waarom het geblokkeerd word terwijl ik outbound FTP over poort 21 Allow?

donderdag 25 september 2008 12:16

Acties:

Pedr0

fopspeen schreef op dinsdag 23 september 2008 @ 10:58:
[...]

Oke, ik heb even gekeken, maar ik kan niet kiezen voor rechtsklik en dan configure FTP.
Als ik de web acces rule bekijk die over FTP en HTTP en HTTPS gaan, kan ik HTTP wel configuren, maar FTP niet, als ik daarintegen naar onze oude isa 2004 server kijk kan ik wel gewoon configure doen. Ook is het feit dat zodra ik properties klik en dan protocol --> FTP --> edit doe, kan ik niks editen..alle knoppen zijn grijs uitgeveegd.

Zit dit soms niet meer in isa 2006 ofzo?

Ik heb even gecheckt op onze ISA2006 en ik kan toch echt kiezen voor Configure FTP. Maak eens een Access Rule met "All outbound Traffic"........kijk nu eens of je die optie hebt?

Build from the Cloud up! | Battletag: NightFly#2112

woensdag 1 oktober 2008 10:23

Acties:

fopspeen

Topicstarter

Dan heb ik de optie wel Ik heb nu gewoon ftp read only uitgeschakelt. voor die rule.
Ik heb ook gevonden waarom ik configure FTP niet had bij mij FTP outbound rule.
Blijkbaar moet je hiervoor ook het protocol FTP Server toevoegen.

Maar ik heb nu het vinkje uitgezet ik probeer een ftp driver download te doen van DELL.
Maar dan krijg ik de melding

Error Code 10060: Connection timeout
Background: The gateway could not receive a timely response from the website you are trying to access. This might indicate that the network is congested, or that the website is experiencing technical difficulties.
Date: 10/1/2008 8:27:14 AM [GMT]
Server: *.com
Source: Firewall

En de FTP word tegen gehouden door die FTP outbound rule.

Log type: Web Proxy (Forward)
Status: 10060 A connection attempt failed because the connected party did not properly respond after a period of time, or established connection failed because connected host has failed to respond.
Rule: FTP Outbound
Source: Internal (172.16.10.166)
Destination: External (143.166.170.10:21)
Request: GET ftp://ftp.us.dell.com/bios/GX270A07.EXE
Filter information: Req ID: 08e06f49; Compression: client=No, server=No, compress rate=0% decompress rate=0%
Protocol: ftp
User: anonymous

Iemand hier msischien meer van weet en een werkende FTP rule heeft?

[ Voor 88% gewijzigd door fopspeen op 01-10-2008 10:32 ]

donderdag 2 oktober 2008 12:41

Acties:

Vicarious

☑Rekt | ☐ Not rekt

Ik heb een werkende FTP rule (en kan het bestand uit de link uit je log ook downloaden), maar heeft dit niet te maken met het Active en Passive FTP verhaal wat ook in het topic wat ik eerder heb gepost staat?

Wat ik namelijk apart vind is dat volgens de error message de FTP niet wordt TEGENGEHOUDEN, maar dat hij gewoon geen connectie kan krijgen. Dat kan wellicht omdat hij het passive probeert terwijl active benodigd is of andersom.

Verder zou je kunnen kijken of het wellicht zin heeft om de ISA Firewall client te installeren op de client pc waarvandaan je het probeert.

Vicariously I live while the whole world dies

vrijdag 3 oktober 2008 08:13

Acties:

fopspeen

Topicstarter

Dan ben ik denk ik niet volledig geweest in mijn uitleg. De PC's hebben allemaal ISA Firewall Client erop staan.

Verder heb ik al geexperimenteerd met de vinkje read only in "configure FTP"
In combinatie met de vinkjes passive FTP in internet explorer options.
Maar ik krijg hier nog altijd geen werking uit.

Zou jij jou FTP rule eens willen posten?
Alle eigenschappen en wat je ervoor gedaan hebt?

vrijdag 3 oktober 2008 08:43

Acties:

AB-Systems

fopspeen schreef op woensdag 24 september 2008 @ 09:05:
ik heb een ebook van isa 2006 van 1000 pagina's,

@Fopspeen, zou je dit document ook willen delen? Ga vanaf volgende week ook wat 'spelen' met ISA 2006 en ben eigenlijk op zoek naar zo iets..? via mijn profiel kan je mn mail adres vinden

Alvast bedankt!

vrijdag 3 oktober 2008 08:50

Acties:

Vicarious

☑Rekt | ☐ Not rekt

fopspeen schreef op vrijdag 03 oktober 2008 @ 08:13:
Dan ben ik denk ik niet volledig geweest in mijn uitleg. De PC's hebben allemaal ISA Firewall Client erop staan.

Verder heb ik al geexperimenteerd met de vinkje read only in "configure FTP"
In combinatie met de vinkjes passive FTP in internet explorer options.
Maar ik krijg hier nog altijd geen werking uit.

Zou jij jou FTP rule eens willen posten?
Alle eigenschappen en wat je ervoor gedaan hebt?

Die FTP rule staat al in het andere topic maar komt op het volgende neer:

Allow
HTTP, HTTPS, FTP
From Internal
To External
ERA\Domain Users

Waarbij ERA mijn domein is, en ik in het object Domain Users de Active Directory groep ERA\Domain Users heb toegevoegd.

Verder ook het vindje Read-Only uitgeschakeld. Verder staat er bij Add-ins een FTP filter, die is ingeschakeld.

Deze link vond ik behoorlijk behulpzaam, misschien heb je hier nog iets aan: http://technet.microsoft.com/en-us/library/bb794745.aspx

Vicariously I live while the whole world dies

vrijdag 3 oktober 2008 10:57

Acties:

hstuivenberg

Hoe zit je met je netwerkkaarten eigenlijk? Heb je wil een tri-homed of dual configuratie?
Met andere woorden: kan ISA wel het verschil maken tussen INTERNAL en EXTERNAL?

Met slechts 1 netwerkkaart gaat dat niet werken namelijk.

vrijdag 3 oktober 2008 11:38

Acties:

Vicarious

☑Rekt | ☐ Not rekt

hstuivenberg schreef op vrijdag 03 oktober 2008 @ 10:57:
Hoe zit je met je netwerkkaarten eigenlijk? Heb je wil een tri-homed of dual configuratie?
Met andere woorden: kan ISA wel het verschil maken tussen INTERNAL en EXTERNAL?

Met slechts 1 netwerkkaart gaat dat niet werken namelijk.

Dat werkt zeer zeker wel. Ik heb ook 1 netwerkkaart. Wel moet je dan in je Network Configuration aangeven welke netwerken hij moet zien als Internal

Vicariously I live while the whole world dies

vrijdag 3 oktober 2008 11:59

Acties:

hstuivenberg

Vicarious schreef op vrijdag 03 oktober 2008 @ 11:38:
[...]

Dat werkt zeer zeker wel. Ik heb ook 1 netwerkkaart. Wel moet je dan in je Network Configuration aangeven welke netwerken hij moet zien als Internal

Excuus als ik dat niet duidelijk gemaakt heb. Je hebt gelijk, maar de strekking van mijn comment bedoeld uiteraard hetzelfde als die van jou:

Kan ISA wel het onderscheid maken tussen intern en extern verkeer, en is het dus juist geconfigureerd (zoals jij terecht aangeeft).

vrijdag 3 oktober 2008 13:14

Acties:

fopspeen

Topicstarter

@ Vicarious Ik heb je regel nagemaakt, mat natuurluijk mijn eigen domein erin.
Maar het werkt nog steeds niet.

Mijn intern/extern verkeer is goed geregeld over 2 NIC's

Dus dit is het niet, ik denkdat ik iets over het hoofd heb gezien.

vrijdag 3 oktober 2008 13:50

Acties:

Vicarious

☑Rekt | ☐ Not rekt

Heeft je ISA zelf wel volledige toegang naar buiten over ALLE poorten? Wellicht dat je firewall achter je ISA het nog tegenhoudt?

Vicariously I live while the whole world dies

dinsdag 7 oktober 2008 08:05

Acties:

fopspeen

Topicstarter

Ja, dit heeft de ISA, bij mijn 2004 server werkt het uitstekend namelijk.
Alleen de 2006 server wil het niet lukken terwijl het geloof ik hetzeflde is.

Het enige verschil dat ik kan zien tussen mijn regel bij 2004 en 2006 is dat ik bij 2004 ook poort 20 outbound toessta? Is dit belangrijk?

[ Voor 31% gewijzigd door fopspeen op 07-10-2008 14:53 . Reden: spelfouten ]

dinsdag 7 oktober 2008 08:45

Acties:

Vicarious

☑Rekt | ☐ Not rekt

Volgens mij is poort 20 voor FTP server, maar je kunt het altijd proberen natuurlijk.

Vicariously I live while the whole world dies

dinsdag 7 oktober 2008 14:54

Acties:

fopspeen

Topicstarter

Ik heb het toegevoegd, maar dit had helaas ook niet het gewenste effect.

woensdag 8 oktober 2008 07:37

Acties:

Rolfie

Probeer een localhost toe te voegen in je allow rule

Allow
HTTP, HTTPS, FTP
From Internal [local host]
To External
ERA\Domain Users

dinsdag 21 oktober 2008 14:49

Acties:

fopspeen

Topicstarter

@ Rolfie,
Ik heb het geprobeerd maar helaas ook dit was het niet.
ik vind het overigens maar vreemd dat het gewoon niet lukt!
Maar ik zoek nog gewoon door

dinsdag 21 oktober 2008 17:02

Acties:

Cranberry

Misschien heb ik het over 't hoofd gezien, maar kun je in zijn geheel geen FTP-site benaderen of lukt het downloaden niet?

donderdag 23 oktober 2008 09:52

Acties:

fopspeen

Topicstarter

Nee, ik kan geen FTP sites benaderen.
Niet bekijken, maar ook niet downloaden.

woensdag 5 november 2008 14:16

Acties:

fopspeen

Topicstarter

Op een of andere merkwaardige reden werkt het FTP nu ineens wel..
Heb er niks aan veranderd, maar toch werkt het ineens..:?

Maar nu worden sommige sites geblokkeerd en hier begrijp ik het niet helemaal.
Inkopers hier willen iets bestellen via bol.com.
Nu gaat dit allemaal goed tenzij ze een bestelling willen bekijken die gemaakt is.
Dan krijgt de inkoper de melding "Page cannot be displayed".
Zodra ik buiten de ISA server dan bestellingen bekijk werkt het perfect.
Ik heb er een rule voor aangemaakt eventueel dat er over http en https gesurfd kan worden naar bol.com. Heeft iemand hier meer problemen mee gehad toevallig?

woensdag 5 november 2008 15:33

Acties:

Vicarious

☑Rekt | ☐ Not rekt

Misschien heeft een reboot geholpen?

Ik heb geen bestellingen bij bol.com openstaan, dus ik kan je probleem niet reproduceren. Hoe kan ik bijvoorbeeld een van jouw bestellingen bekijken? En die page die niet gedisplayed kan worden, wordt die niet gewoon geblokkeerd doordat hij een andere URL heeft?

Vicariously I live while the whole world dies

woensdag 5 november 2008 16:34

Acties:

fopspeen

Topicstarter

Ja dat zou misschien kunnen, ik had hem vantevore niet gereboot

En hoe je die kan bekijken kan alleen door in te loggen, en een bestelling te bekijken.
Maar dit zijn natuurlijk beveiligde gegevens dus bij het inloggen ga je over https inloggen. Dan kun je richting bestellingen gaan, en bekijken welke bestellingen opstaan of gemaakt zijn met dat account.
Hier komt dus een username en password bij kijken en deze kan ik niet doorgeven.

En de URL blijft nog altijd https://www.bol.com/* of https://www.bol.com/*

Op de plaats van de sterretjes komen nog van allerlei andere dingen te staan, maar dit heb ik dus met een wildcard opgegeven. zodat het zeker geaccepteerd word.
Wel heb ik opgemerkt dat in een url iets staan van redirect.
Misschien dat het redirecten naar een andere URL niet toegestaan is? Lijkt me dat dit gewoon toegestaan is

woensdag 5 november 2008 16:45

Acties:

Vicarious

☑Rekt | ☐ Not rekt

Dan zou ik de loggings even bekijken. Je kan een query maken zodat alleen de resultaten van een bepaalde user worden weergegeven, ook de denied requests. In die log kun je vervolgens de reden nalezen dat hij gedenied wordt.

Vicariously I live while the whole world dies

dinsdag 2 december 2008 08:37

Acties:

fopspeen

Topicstarter

Ja ik heb het gezien, en ook dat probleem is opgelost bedankt!

Op naar de volgende problemen