[Win 2k3] ISA Server werkt - Windows clients

woensdag 24 december 2003 17:20

Acties:

Verwijderd

Topicstarter

IK ben laatst begonnen met ISA server 2000, maar nu heb ik een beetje door hoe het werkt maar als ik packet filters of protocol rules instel dan werken ze niet.

Bijv ik wil dat die server niet pingbaar is dus heb en een packetfilter daarvoor op deny zowel voor outbound en inbound. Maar ja ik kan em wel gewoon pingen. en als de poorten scan dan staat er echt een zooi poorten open.

Is het mogelijk om alles dicht te zetten en dan zelf bepaalde poorten open zetten ?

Ik heb gezocht op google en GoT met woorden zoals " ISA port blocking" "Internet Security and Acceleration (ISA) Server protocol blocking" ISA packet filtering"

woensdag 24 december 2003 17:25

Acties:

axis

Hmm.. zou toch moeten werken.. de rest werkt wel goed, internet access etc? Portscan van buiten geprobeerd?

SP1 en alle patches geinstalleerd?

En als je een goede site zoekt met artikelen: www.isaserver.org

Two advices for network troubleshooting.. learn to draw diagrams in Visio, and THINK IN LAYERS!

woensdag 24 december 2003 17:27

Acties:

Verwijderd

Topicstarter

Ja alle updates zijn geisntalleerd, en een poortscan van buiten af kan niet omdat het ADSL modem niet pingbaar is.

Maar ik zal een kijken op die site.

Maar is er niet iets dat ik zelf alles dicht kan zetten? Want ik het ook al geprobeerd om een protocol rule te maken waarin alle het IP verkeerd wordt geblockd maar ja dat werkt ook niet

[ Voor 39% gewijzigd door Verwijderd op 24-12-2003 17:29 ]

woensdag 24 december 2003 17:47

Acties:

max

a.k.a. Bezwaarbaard

Wil je hem extern of intern niet-pingbaar maken?

Extern is namelijk al opgelost door je modem zoals je zelf al zegt.
Intern zou ik hem wel pingbaar houden. Mocht je eens internet problemen hebben dan is pingen naar je ISA server het eerste wat je doet lijkt me.

Bald by design, beard by choice.

Inzien dat je iets niet weet, is belangrijker dan alles weten.

woensdag 24 december 2003 18:16

Acties:

Verwijderd

je moet deny rules maken, maar vlg mij staat standaard het meeste al dicht bij de isa server.
overal staat bij mij standaard een deny rule, en die moet ik dus omzeilen door er permit rule met poort en ip in te zetten, de rest blijft dan dicht
mijn isa server is ook niet pingbaar van buiten af.
maar dat kan je dus vanaf je interne ip nooit controlleren, dat moet echt via een andere verbinding gecontroleerd worden.

woensdag 24 december 2003 20:04

Acties:

Verwijderd

Topicstarter

mm maar mijn server heeft maar 1 netwerk kaart en zit op een router aangesloten (gewoon een hardwarte matige).

Maar zowel die router als het ADSL moden is niet ping baar dus ik heb geen idee hoe ik dan kan scannen.

Want nmap geeft dan altijd aan dat de ping probes geblocked worden try -P0. maar ja als ik met die optie scan geeft ie nog geen resultaten, maar ik weet zeker dat er wel poorten open staan

woensdag 24 december 2003 20:08

Acties:

Verwijderd

Topicstarter

Fire_escape schreef op 24 december 2003 @ 17:47:
Wil je hem extern of intern niet-pingbaar maken?

Extern is namelijk al opgelost door je modem zoals je zelf al zegt.
Intern zou ik hem wel pingbaar houden. Mocht je eens internet problemen hebben dan is pingen naar je ISA server het eerste wat je doet lijkt me.

Nou ik wil dat er extern maar een paar poorten open staan, en ik wil die ISA server in de DMZ van mijn router zetten want in mijn routertje kan ik geen range open zetten voor passive ftp serveren. Dus wou ik het zo oplossen. En als ik ISA mischien een keer hele maal onder de knie krijg flikker ik die router weg ofzo

woensdag 24 december 2003 20:22

Acties:

mutsje

Certified Prutser

vraag dat maar aan IIS5_rules of Zwelgje. die timmeren een ISA server dusdanig voor je dicht dat je uren aan het uitpluizen bent hoe jij nog internetten kan.. etc.

www.isaserver.org heb je daar al gekeken?

woensdag 24 december 2003 20:36

Acties:

Verwijderd

Topicstarter

Ja op isaserver.org ben ik even wezen rondsnuffelen maar daar staan veel tuts voor specfieke dingen zoals een firewall met vpn en clients etc. en ik ben gewoon noob met redelijk TCP/IP kennis en ik vond dat isa wel een mooi pakket, dus wou ik dat gaan testen.

Ik heb me zojuist even laten scannen door scan.sygate.com en er stonden wel een heleboel poorten open.

Wat ik ook niet begrijp dat hun mij wel kunnen scannen en ik mijzelf niet. Of scan ik gewoon verkeerd? want ik doe gewoon een TCP scan of een SYN scan.

/maar ik begin zelf een beetje offtopic te raken

[ Voor 5% gewijzigd door Verwijderd op 24-12-2003 20:36 ]

woensdag 24 december 2003 20:57

Acties:

Zwelgje

hoe heb je isa server geinstalleerd? in integrated mode?.. niet verstandig als je maar 1 nic hebt

je moet gewoon 2 nics hebben wil je goed kunnen werken, met 1 nic kan je alleen isa instellen als proxy server (caching mode)

maw: 2e nic kopen en die met crosscable op je modem knopen, vervolgens op je adsl modem instellen dat die externe interface in de DMZ zit

inet>adslmodem>externeinterfaceisaserver>isaserver>interneinterfaceisaserver

op je modem gebruik je als interne ipadres (lan kant 192.168.1.1) en op de isaserver 192.168.1.2) die 192.168.1.2 is dus je EXTERNE interface op de isaserver en hou je dus buiten je lat, de interne interface op je isaserver krijgt 192.168.0.2 (en dan koppel je daar rest van je lan op)

A wise man's life is based around fuck you

donderdag 25 december 2003 00:41

Acties:

Verwijderd

Topicstarter

mmm dat is wel vervelend want eigenlijk wil ik ISA gewoon als firewall gebruiken, zo heb ik em ook geistallerd.

Of gaat dat niet werken dat ie alleeen als firewall fungeerd?

Want het is meer om te testen aangezien ik niet iets als proxy/router waar ik zelf niet goed mee overweg kan. Daarom heb ik er nu nog gewoon een sitecom routertje voor hangen.

donderdag 25 december 2003 11:10

Acties:

alt-92

ye olde farte

Verwijderd schreef op 25 december 2003 @ 00:41:
mmm dat is wel vervelend want eigenlijk wil ik ISA gewoon als firewall gebruiken, zo heb ik em ook geinstalleerd.

Hallo.. ISA server is niet hetzelfde als een klikklik Personal Firewall hoor.
Als je die als Firewall goed wil gebruiken doe je dat liefst op een aparte bak die je tussen internet en je eigen netwerk hangt.

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

donderdag 25 december 2003 11:23

Acties:

Verwijderd

Topicstarter

Oh dus ik zou gewoon beter zonealarm erop kunnen gooien?

Dat zou wel jammer zijn al het helemaal niet werkt als standalone firewall, want nogmaals ik vind het wel een mooi pakket

donderdag 25 december 2003 11:31

Acties:

alt-92

ye olde farte

Doe jezelf en anderen hier een plezier en zoek eerst maar eens uit of je ZoneAlarm op Windows 2003 Server wel kan installeren zonder de boel te vernielen.

Enne: het IS een standalone firewall in die zin dat je 'm op een aparte bak installeert als je er goed gebruik van wil maken.

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

donderdag 25 december 2003 12:59

Acties:

mutsje

Certified Prutser

Verwijderd schreef op 25 december 2003 @ 11:23:
Oh dus ik zou gewoon beter zonealarm erop kunnen gooien?

Dat zou wel jammer zijn al het helemaal niet werkt als standalone firewall, want nogmaals ik vind het wel een mooi pakket

ISA server hoord ook op een Member server te draaien ja.. duh.

donderdag 25 december 2003 15:10

Acties:

Verwijderd

Topicstarter

Oh nou ja het is maar een thuis omgeving en mijn w2k3 dc gebruik ik alleen maar om ervaring op te doen.

En zonealarm doet het niet. Maar ja dan kijk ik wel hoe ik op een andere manier een firewall kan opzetten

zondag 4 januari 2004 16:06

Acties:

Verwijderd

Topicstarter

Maar even voor de duidelijk, Ik kan MS ISA niet gebruiken als een firewall voor maar 1 server (en de server waarop het geinstalled is)

zondag 4 januari 2004 16:15

Acties:

Zwelgje

Verwijderd schreef op 04 januari 2004 @ 16:06:
Maar even voor de duidelijk, Ik kan MS ISA niet gebruiken als een firewall voor maar 1 server (en de server waarop het geinstalled is)

kan wel, maar je moet dan in je internet explorer even een proxy aangeven (localhost)

voor de rest kan je niks...

(of je moet al poorten gaan lopen openzetten)

technisch gezien kan het wel, of het wenselijk is... NEE dat niet

A wise man's life is based around fuck you

zondag 4 januari 2004 16:37

Acties:

Verwijderd

Topicstarter

Ja dat is juist de bedoeling dat het meeste dicht staat op een paar poorten na.

MM maar dan ga ik hier maar eens mee spelen, thnx iig

zondag 4 januari 2004 17:17

Acties:

Zwelgje

Verwijderd schreef op 04 januari 2004 @ 16:37:
Ja dat is juist de bedoeling dat het meeste dicht staat op een paar poorten na.

MM maar dan ga ik hier maar eens mee spelen, thnx iig

kan je dan niet beter de ingebouwde (toegeven niet echt uitgebreide) firewall van 2003 gebruiken?

isa is way overkill voor 1 machine, en totaal niet gemaakt voor jouw config

A wise man's life is based around fuck you

zondag 4 januari 2004 19:19

Acties:

Verwijderd

Topicstarter

Ja ok daar heb je mischien wel gelijk in dat het een overkill is, maar ja die standaard Firewall van MS vind ik echt een crap ding.

Want ik wil bijv. wel files kunnen sharen over het netwerk maar ja ik wil niet dat heel internet erbij kan.

En je kan geen Trusted IPs aangeven.

Maar wat ik me afvroeg is of normale Firewalls wel op een MS server os draaien want ik heb Zonealarm geprobeerd maar ja dat werkt niet.

Ok deze vraag is dat een beetje offtopic
Maar wat is een goeie firewall (behalve zonealarm) Waarbij je ook bijv. een poort range kan open zetten en locaal wel files kan sharen maar niet op inet.

zondag 4 januari 2004 19:21

Acties:

Zwelgje

Verwijderd schreef op 04 januari 2004 @ 19:19:
Ja ok daar heb je mischien wel gelijk in dat het een overkill is, maar ja die standaard Firewall van MS vind ik echt een crap ding.

Want ik wil bijv. wel files kunnen sharen over het netwerk maar ja ik wil niet dat heel internet erbij kan.

En je kan geen Trusted IPs aangeven.

Maar wat ik me afvroeg is of normale Firewalls wel op een MS server os draaien want ik heb Zonealarm geprobeerd maar ja dat werkt niet.

Ok deze vraag is dat een beetje offtopic
Maar wat is een goeie firewall (behalve zonealarm) Waarbij je ook bijv. een poort range kan open zetten en locaal wel files kan sharen maar niet op inet.

wat dacht je van 2 nics in je server bouwen en alleen de 1ste nic gebruiken voor intern verkeer en de andere alleen voor internet (waar je dan file/printsharing afsloopt)

zet op die 2e interface de standaard firewall aan en gaan met die banaan.. ok ok je kan geen ranges opgeven, maarja moet dat dan? wil je services aanbieden waar niet iedereen bij mag? (rdp sessies, of telnet sessies?)

en nee ik ken geen normale firewalls (lees personal firewalls) welke wel werken op server OS'sen...

[ Voor 5% gewijzigd door Zwelgje op 04-01-2004 19:22 ]

A wise man's life is based around fuck you

maandag 5 januari 2004 08:26

Acties:

StevenK

Nee,

Je kunt ISA niet met één NIC als firewall draaien, omdat de firewall van ISA altijd op de Local Address Table gebaseerd is.

Was advocaat maar vindt het juridische nog steeds leuk. Doet tegenwoordig iets in de metaal.

maandag 5 januari 2004 10:06

Acties:

Verwijderd

Topicstarter

mm dat is het niet mogelijk want ook al heb ik 2 NIC ze zitten allebij op de router waar ze dus een Private IP van krijgen. En ik heb veel te weinig ervaring met ISA om dat als de internet proxy/router te laten draaien

maandag 5 januari 2004 10:41

Acties:

Verwijderd

als je nu gewoon de firewall van win2k3 aanzet. lijkt me meer dan zat voor je.

Pagina: 1

Reageer