DMZ на ISA не живет в "боевом" режиме!
Модератор: Модераторы
Сообщений: 12
• Страница 1 из 2 • 1, 2
masterdim » 10 июн 2004, 15:03
Добрый всем день!
Я уже тут появлялся со своей DMZ - прошу прощения!
Моя ситуация такая....
Построил тестовую сетку:
Просто комп(195.x.x.100)->Внешняя карточка ISA(195.x.x.162(+195.x.x.163 + 195.x.x.164) - провайдер дал/даст)->Внутренняя карточка ISA(92.168.x.1)->DMZ
В DMZ сидят 3 компа: WWW(....162) и 2 SSL-сервера. Я их опубликовал с помощью ServerPublishingRule (без Listeners-ов и без IP Routing-а !!).
Так вот: "Просто комп" видит все 3 сервака отлично (ес-с-сно по IP-адресам) - и на сайт залазит, и к остальным двум SSL-кам залезает - Супер!
НО! Как только я подсоединяю на внешнюю карточку ISA-ы провод от провайдера и пытаюсь реально достучаться извне - вообще ничего невидно, неслышно! Единственно до чего дошл дело - это если в IP Packet Filters-ах создать фильтр, разрешающий ICMP Ping Query на внешний (.....162) - то тогда становится виден мой WWW !!!?
Я уже тут появлялся со своей DMZ - прошу прощения!
Моя ситуация такая....
Построил тестовую сетку:
Просто комп(195.x.x.100)->Внешняя карточка ISA(195.x.x.162(+195.x.x.163 + 195.x.x.164) - провайдер дал/даст)->Внутренняя карточка ISA(92.168.x.1)->DMZ
В DMZ сидят 3 компа: WWW(....162) и 2 SSL-сервера. Я их опубликовал с помощью ServerPublishingRule (без Listeners-ов и без IP Routing-а !!).
Так вот: "Просто комп" видит все 3 сервака отлично (ес-с-сно по IP-адресам) - и на сайт залазит, и к остальным двум SSL-кам залезает - Супер!
НО! Как только я подсоединяю на внешнюю карточку ISA-ы провод от провайдера и пытаюсь реально достучаться извне - вообще ничего невидно, неслышно! Единственно до чего дошл дело - это если в IP Packet Filters-ах создать фильтр, разрешающий ICMP Ping Query на внешний (.....162) - то тогда становится виден мой WWW !!!?
Harry33 » 10 июн 2004, 15:26
Тля пропуска трафика извне в ДМЗ необходимо настраивать пакетные фильтры
Знания, которые нельзя применить - бесполезны
masterdim » 10 июн 2004, 16:49
Упс! 
я извиняюсь за неправильное описание ситуации: я не DMZ сделал, а просто опубликовал внутренние сервера!
я извиняюсь за неправильное описание ситуации: я не DMZ сделал, а просто опубликовал внутренние сервера!
Harry33 » 10 июн 2004, 17:10
masterdim
При публикации серверов так-же необходимы пакетные фильтры для входящего трафика. Если публикация проводилась Мастером, он должен был их создать
При публикации серверов так-же необходимы пакетные фильтры для входящего трафика. Если публикация проводилась Мастером, он должен был их создать
Знания, которые нельзя применить - бесполезны
masterdim » 10 июн 2004, 17:14
Ну - наверное, создал - раз тестовый комп, который сидит на наружном интерфейсе имеет нормальный достут ко всем 3-м сервакам... Проблема-то в том, что реальный внешний комп никуда зайти не может 
- Stratofortress
- хм...
-
- Сообщения: 611
- Зарегистрирован: 07 апр 2004, 17:10
- Откуда: ссср
Stratofortress » 10 июн 2004, 17:33
masterdim
ipconfig /all с гейта.
ipconfig /all с гейта.
нет времени разбираться — наймите того, кто знает.
masterdim » 10 июн 2004, 17:55
host name: isa
primary DNS Suffix:
node Type: Broadcast
IP Routing Enabled: No
WINS Proxy Enabled: No
Ethernet adapter LAN:
Connection-specific DNS Suffix:
Description: 3Com.....
DHCP Enabled: No
IP Address: 192.168.x.1
Subnet Mask: 255.255.255.0
Def Gateway:
DNS Server:
Ethernet adapter Internet:
Connection-specific DNS Suffix:
Description: Realtek.....
DHCP Enabled: No
IP Address: 195.x.x.162
Subnet Mask: 255.255.255.0
IP Address: 195.x.x.163
Subnet Mask: 255.255.255.0
IP Address: 195.x.x.164
Subnet Mask: 255.255.255.0
Def Gateway: 195.x.x.162[/i]
DNS Server:
primary DNS Suffix:
node Type: Broadcast
IP Routing Enabled: No
WINS Proxy Enabled: No
Ethernet adapter LAN:
Connection-specific DNS Suffix:
Description: 3Com.....
DHCP Enabled: No
IP Address: 192.168.x.1
Subnet Mask: 255.255.255.0
Def Gateway:
DNS Server:
Ethernet adapter Internet:
Connection-specific DNS Suffix:
Description: Realtek.....
DHCP Enabled: No
IP Address: 195.x.x.162
Subnet Mask: 255.255.255.0
IP Address: 195.x.x.163
Subnet Mask: 255.255.255.0
IP Address: 195.x.x.164
Subnet Mask: 255.255.255.0
Def Gateway: 195.x.x.162[/i]
DNS Server:
- Stratofortress
- хм...
-
- Сообщения: 611
- Зарегистрирован: 07 апр 2004, 17:10
- Откуда: ссср
Stratofortress » 10 июн 2004, 18:22
| Цитата |
| IP Address: 195.x.x.162
Def Gateway: 195.x.x.162 [/quote]  провайдер не дал адрес маршрутизатора?
Def Gateway здесь — ip роутера провайдера. нет времени разбираться — наймите того, кто знает.
упс!
спасобо большое за def.gateway! 
НО! трабл остался: на внешнем интерфейсе сидят 4 реальных IP-шника. на 4-ом (последнем по-порядку) прописан мой WWW (nslookup - все находится) Так вот - извне его можно увидеть только если: 1. создать packet filter, который разрешает пинговать его снаружи 2. поставить этот реальный IP-адрес по порядку первым в списке реальных IP-адресов на внешнем интерфейсе! На мой взгляд - что первый пункт, что 2-ой - полнейшая глупость! Но только так и работает 
masterdim
Это баг ISA она по какой то причине не в состоянии нормально работать с несколькими IP на внешнем адаптере Знания, которые нельзя применить - бесполезны
Сообщений: 12
• Страница 1 из 2 • 1, 2
Вернуться в Межсетевые экраны (Firewall) и Прокси серверы (Proxy) Кто сейчас на конференцииСейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 18 |