isa 2004 "enganchado" a otro proxy

"Coupex" escribió en el mensaje
news:
> Hola Ivan:
>
> Nuestra idea es la siguiente. De dentro hacia dentro, y de localhost
> hacia dentro y viceversa permitir todo, absolutamente todo. De localhost
> hacia afuera permitir HTTP y FTP (a través del otro servidor proxy tal y
> como te he comentado).

Entiendo que lo que necesitas es permitir todo desde la red interna a
localhost y desde localhost a la red interna
Crea una regla de acceso que pemrite todo el trafico saliente desde
localhost y red interna hacia localhost y red interna a todos los

>De fuera a localhost, permitir NETBIOS.

Desde internet a localhost NetBIOS ? para que ? creo que no has explicado
bien tu implementacion.

Y luego nos
> quedaría por enrutar SSH (22) de fuera hacia dos máquinas de dentro
> (¿podemos hacer NAT a dos máquinas distintas con el mismo puerto?),

Utilizas reglas de publicacion de servidor y listo. SI solo dispones de

IP publica (IP externa) no puedes publicar dos servicios en el mismo

o utilizas 2 IPs o cambias el puerto de uno de ellos.

> alguno
> más de forma ocasional (SMTP (servidor)). Por otro lado queremos capar
> SMTP
> del todo (que ni siquiera se pueda hacer una petición a través de SMTP)

> HTTP que no sea por proxy (supongo que para estas dos basta con dejar la
> configuración por defecto, pero es fundamental que no salga nada por
> SMTP).

Tu controlas mediante reglas de acceso lo que pueden y no pueden usar los
clientes internos. Por defecto ISA no permite nada. Para el usuario que
trabaja en local, lo mismo... la directiva por defecto del firewall

SMTP pero solo hacia la red interna. Cualquier otro protocolo hay que
pemritido en la direccion adecuada.

Un saludo.
Ivan
MS MVP ISA Server




>
>
> "Ivan [MS MVP]" escribió en el mensaje
> news:
>> No, no es un problema de refresco, ISA aplica los cambios de forma
>> inmediata. Dime que aplicacion quieres usar en el ISA y hacia donde,

>> interna, o internet. Si sabes que protocolos utiliza la aplicacion

> que
>> mejor. Otra cosa, cuantos adaptadores de red tiene el ISA ?
>> Si, son 10, pocos clientes, pero un servidor es un servidor, lo mires
>> como
>> lo mires si un dia deja de funcionar el servidor, son 10 clientes

>> brazos cruzados en lugar de uno solo. Un PC hoy en dia no es un gasto
>> desorbitado para ninguna empresa, hablamos de uno, no de 25 0 30.
>>
>> Un saludo.
>> Ivan
>> MS MVP ISA Server
>>
>>
>> "Coupex" escribió en el mensaje
>> news:O7t%
>> > Saludos:
>> >
>> > Muchas gracias por tu ayuda, probaremos lo que comentas. En cuanto

>> > las
>> > reglas de localhost, lo que hemos probado no ha funcionado, de todas
>> > formas
>> > esperaremos más tiempo por si es un problema de refresco. En lo que
>> > respecta
>> > al tema de uso de escritorio del servidor, el único problema es que
> actúa
>> > también como servidor de imágenes y es la máquina más potente que
> tenemos.
>> > Lo cierto es que es una red en la que hay sólo 10 equipos y sería una
> pena
>> > desaprovechar el servidor sólo para enrutar http y poco más.
>> >
>> > Un saludo.
>> > "Ivan [MS MVP]" escribió en el mensaje
>> > news:
>> >> "Coupex" escribió en el mensaje
>> >> news:%
>> >> > Saludos:
>> >> >
>> >> > Queremos montar una subred dentro de una LAN. En la LAN

>> >> > hay
>> >> > otro ISA (2000) a cuyo proxy HTTP y FTP hay que conectarse para
>> >> > salir
> a
>> >> > Internet. Nuestra intención es montar una subred dentro de la LAN
> (para
>> >> > hacer pruebas sin influir en la red principal) con un Windows 2000
>> > Server
>> >> > e
>> >> > Isa Server 2004 a modo de router. La única duda importante que nos
>> >> > queda
>> >> > es
>> >> > la siguiente, para que los equipos que estén dentro de la subred
> salgan
>> > a
>> >> > Internet tenemos que hacer que el ISA 2004 enrute las conexiones

>> >> > otro
>> >> > proxy,
>> >>
>> >> Crea una web chaining rule en la que enrutas todas las peticiones al
> otro
>> >> ISA. Lo tienes en : configuration, networks, web chaining.
>> >>
>> >> y a su vez el propio servidor Isa 2004 tiene que poder conectarse a
>> >> > Internet (también se va a utilizar como escritorio, no me

> es
>> > por
>> >> > necesidad).
>> >>
>> >> Aqui nadie chilla... simplemente que esto que quieres hacer, lo

>> > pero
>> >> me parece una... no se ni como calificarlo... un tio sentado en la
>> >> consola
>> >> del server usando el office y navegando por internet ? no me creo

> sea
>> >> por necesidad, antes le doy papel, boligrafo y una calculadora y que
> haga
>> > lo
>> >> que pueda.
>> >> Como digamos lo que digamos, al final la decision es tuya:
>> >> http://www.isaserver.org/articles/2...ewall.html
>> >>
>> >> > Hasta ahora lo teníamos montado con un 2000 server con un
>> >> > Microsoft Proxy 2.0, pero ha empezado a fallar e incluso
> reinstalándolo
>> >> > sigue dando problemas. ¿Qué tenemos que hacer en el ISA 2004 para
> poder
>> >> > reconducir el tráfico al otro proxy? Otra preguntilla, hemos hecho
>> > algunas
>> >> > pruebas con ISA 2004 con algún problemilla si tratamos de acceder
> desde
>> > el
>> >> > propio servidor por cualquier protocolo. Es decir, aplicamos una
> regla,
>> >> > funciona para los equipos que están dentro de la subred, pero no
>> >> > para
>> >> > el
>> >> > servidor. ¿Tiene solución?
>> >>
>> >> Debes crear reglas de acceso que permitan la comunicacion a los
>> >> protocolos
>> >> necesarios desde local host a la red u objetos de red necesarios:
>> >> interna,
>> >> externa, etc
>> >>
>> >> Un saludo.
>> >> Ivan
>> >> MS MVP ISA Server
>> >>
>> >>
>> >>
>> >>
>> >
>> >
>> >
>>
>>
>>
>
>
>

Saludos:

En efecto, creo que no me he explicado bien. El Isa Server no va a
estar
entre la subred e Internet, va a estar entre la subred y otra LAN más
grande
de la que va a formar parte y que a su vez accede a Internet a través de
otro ISA. Puede parecer un poco estúpida esta configuración de red pero
tiene sentido puesto que queremos hacer pruebas aisladas de forma que no
influyan a la LAN "grande". Cuando digo de fuera a localhost, permitir
NETBIOS, me refiero a: desde la LAN principal a localhost. En cuanto a la
parte de NAT me imaginaba que me dirías eso, así que habrá que cambiar la
configuración de uno de los dos servidores SSH.

Un saludo.

"Ivan [MS MVP]" escribió en el mensaje
news:%

"Coupex" escribió en el mensaje
news:
> Hola Ivan:
>
> Nuestra idea es la siguiente. De dentro hacia dentro, y de localhost
> hacia dentro y viceversa permitir todo, absolutamente todo. De
> localhost
> hacia afuera permitir HTTP y FTP (a través del otro servidor proxy tal
> y
> como te he comentado).

Entiendo que lo que necesitas es permitir todo desde la red interna a
localhost y desde localhost a la red interna
Crea una regla de acceso que pemrite todo el trafico saliente desde
localhost y red interna hacia localhost y red interna a todos los

usuarios.

>De fuera a localhost, permitir NETBIOS.

Desde internet a localhost NetBIOS ? para que ? creo que no has explicado
bien tu implementacion.

Y luego nos
> quedaría por enrutar SSH (22) de fuera hacia dos máquinas de dentro
> (¿podemos hacer NAT a dos máquinas distintas con el mismo puerto?),

Utilizas reglas de publicacion de servidor y listo. SI solo dispones de

una

IP publica (IP externa) no puedes publicar dos servicios en el mismo

puerto,

o utilizas 2 IPs o cambias el puerto de uno de ellos.

> alguno
> más de forma ocasional (SMTP (servidor)). Por otro lado queremos capar
> SMTP
> del todo (que ni siquiera se pueda hacer una petición a través de SMTP)

y

> HTTP que no sea por proxy (supongo que para estas dos basta con dejar
> la
> configuración por defecto, pero es fundamental que no salga nada por
> SMTP).

Tu controlas mediante reglas de acceso lo que pueden y no pueden usar los
clientes internos. Por defecto ISA no permite nada. Para el usuario que
trabaja en local, lo mismo... la directiva por defecto del firewall

permite

SMTP pero solo hacia la red interna. Cualquier otro protocolo hay que
pemritido en la direccion adecuada.

Un saludo.
Ivan
MS MVP ISA Server




>
>
> "Ivan [MS MVP]" escribió en el mensaje
> news:
>> No, no es un problema de refresco, ISA aplica los cambios de forma
>> inmediata. Dime que aplicacion quieres usar en el ISA y hacia donde,

red

>> interna, o internet. Si sabes que protocolos utiliza la aplicacion

mejor

> que
>> mejor. Otra cosa, cuantos adaptadores de red tiene el ISA ?
>> Si, son 10, pocos clientes, pero un servidor es un servidor, lo mires
>> como
>> lo mires si un dia deja de funcionar el servidor, son 10 clientes

de

>> brazos cruzados en lugar de uno solo. Un PC hoy en dia no es un gasto
>> desorbitado para ninguna empresa, hablamos de uno, no de 25 0 30.
>>
>> Un saludo.
>> Ivan
>> MS MVP ISA Server
>>
>>
>> "Coupex" escribió en el mensaje
>> news:O7t%
>> > Saludos:
>> >
>> > Muchas gracias por tu ayuda, probaremos lo que comentas. En
>> > cuanto

a

>> > las
>> > reglas de localhost, lo que hemos probado no ha funcionado, de todas
>> > formas
>> > esperaremos más tiempo por si es un problema de refresco. En lo que
>> > respecta
>> > al tema de uso de escritorio del servidor, el único problema es que
> actúa
>> > también como servidor de imágenes y es la máquina más potente que
> tenemos.
>> > Lo cierto es que es una red en la que hay sólo 10 equipos y sería
>> > una
> pena
>> > desaprovechar el servidor sólo para enrutar http y poco más.
>> >
>> > Un saludo.
>> > "Ivan [MS MVP]" escribió en el mensaje
>> > news:
>> >> "Coupex" escribió en el mensaje
>> >> news:%
>> >> > Saludos:
>> >> >
>> >> > Queremos montar una subred dentro de una LAN. En la LAN

principal

>> >> > hay
>> >> > otro ISA (2000) a cuyo proxy HTTP y FTP hay que conectarse para
>> >> > salir
> a
>> >> > Internet. Nuestra intención es montar una subred dentro de la LAN
> (para
>> >> > hacer pruebas sin influir en la red principal) con un Windows
>> >> > 2000
>> > Server
>> >> > e
>> >> > Isa Server 2004 a modo de router. La única duda importante que
>> >> > nos
>> >> > queda
>> >> > es
>> >> > la siguiente, para que los equipos que estén dentro de la subred
> salgan
>> > a
>> >> > Internet tenemos que hacer que el ISA 2004 enrute las conexiones

al

>> >> > otro
>> >> > proxy,
>> >>
>> >> Crea una web chaining rule en la que enrutas todas las peticiones
>> >> al
> otro
>> >> ISA. Lo tienes en : configuration, networks, web chaining.
>> >>
>> >> y a su vez el propio servidor Isa 2004 tiene que poder conectarse
>> >> a
>> >> > Internet (también se va a utilizar como escritorio, no me

chilléis,

> es
>> > por
>> >> > necesidad).
>> >>
>> >> Aqui nadie chilla... simplemente que esto que quieres hacer, lo

siento

>> > pero
>> >> me parece una... no se ni como calificarlo... un tio sentado en la
>> >> consola
>> >> del server usando el office y navegando por internet ? no me creo

que

> sea
>> >> por necesidad, antes le doy papel, boligrafo y una calculadora y
>> >> que
> haga
>> > lo
>> >> que pueda.
>> >> Como digamos lo que digamos, al final la decision es tuya:
>> >> http://www.isaserver.org/articles/2...ewall.html
>> >>
>> >> > Hasta ahora lo teníamos montado con un 2000 server con un
>> >> > Microsoft Proxy 2.0, pero ha empezado a fallar e incluso
> reinstalándolo
>> >> > sigue dando problemas. ¿Qué tenemos que hacer en el ISA 2004 para
> poder
>> >> > reconducir el tráfico al otro proxy? Otra preguntilla, hemos
>> >> > hecho
>> > algunas
>> >> > pruebas con ISA 2004 con algún problemilla si tratamos de acceder
> desde
>> > el
>> >> > propio servidor por cualquier protocolo. Es decir, aplicamos una
> regla,
>> >> > funciona para los equipos que están dentro de la subred, pero no
>> >> > para
>> >> > el
>> >> > servidor. ¿Tiene solución?
>> >>
>> >> Debes crear reglas de acceso que permitan la comunicacion a los
>> >> protocolos
>> >> necesarios desde local host a la red u objetos de red necesarios:
>> >> interna,
>> >> externa, etc
>> >>
>> >> Un saludo.
>> >> Ivan
>> >> MS MVP ISA Server
>> >>
>> >>
>> >>
>> >>
>> >
>> >
>> >
>>
>>
>>
>
>
>