isa 2k4

No, no, ISA aqui no pinta nada... las peticiones van de la DMZ a traves del
PIX a la red interna... a no ser que uilices reglas de publicacion web: OWA,
IIS, etc

Un saludo.
Ivan
MS MVP ISA Server


"icegon" escribió en el mensaje
news:

Perdona mi mala explicacion.
el esquema es el siguiente:

internet<-->PIX<> Red internta (isa en modo proxy)
|
DMZ

Es el pix quien tiene los dos interfaces de red.

Entonces.ademas de crear las reglas que me has comentado para permitir
todo el trafico entre el host y la red interna, ¿como permito el trafico
entre la dmz y la red interna? La infraestructura sin el isa ya esta
montada
y funcionando, es mas, antes tenia isa2k como proxy (tambien funcionando)
pero puesto que tengo la actualizacion estoy intentado la migracion a
isa2k4.
El primer intento sin mucho exito.

Gracias.





"Ivan [MS MVP]" escribió:

Una pregunta. si ISA esta en modo cache y tienes esta configutacion:
Internet<>PIX<> Red interna
|
ISA
Realmente no hay DMZ, para tener DMZ ISA deberia tener dos interfaces de
red
y utilizar este esquema:
Internet<>PIX<>ISA<> Red interna

Aqui si tendrias una DMZ entre el PIX y el ISA.

Un saludo.
Ivan
MS MVP ISA Server


"icegon" escribió en el mensaje
news:
> ok. tambien tengo una DMZ creada a partir de un pix. ¿como puedo
> habilitar
> la
> comunicacion de esta red con la red interna? ¿como puedo hacer que el
> isa
> identifique esta red para luego darle acceso a la red interna?
>
> Muchas gracias.
>
>
>
>
> "Ivan [MS MVP]" escribió:
>
>> Aunque los instales en modo cache, ISA continua aplicando filtrado en
>> todos
>> los interfaces y por lo tanto debes crear las reglas de acceso
>> necesarias
>> para permitir la comunicacion entre red interna<->localhost.
>> Si no quieres que se aplique ningun filtrado, lo mas sencillo es crear
>> una
>> regla que permite todo el trafico en saliente desde localhost y red
>> interna,
>> a red interna y localhost a todos los usuarios.
>>
>> Un saludo.
>> Ivan
>> MS MVP ISA Server
>>
>>
>> "icegon" escribió en el mensaje
>> news:
>> > necesito instalar isa2k4 únicamente como proxy-acelerador. Existe la
>> > posiblidad durante la instalacion de obviar la funcionalidad de
>> > firewall??
>> > he
>> > visto en las notas que en servidores con una única tarjeta de red
>> > esta
>> > es
>> > la
>> > instalacion por defecto pero una vez instalado, el servicio de
>> > firewall
>> > se
>> > pone en marcha y me bloquea accesos al servidor en el que está
>> > instalado,
>> > etc...
>> >
>> > Gracias.
>> >
>> >
>> >
>> >
>>
>>
>>

ostras que complicado es esto!!
en la DMZ tengo OWA e IIS. el equipo que tiene instalado ISA es controlador
de dominio. Con la primera prueba de instalacion el OWA dejó de dar servicio.
OWA(dmz) <-->EX2003 BBDD(inside)

Lo cierto es que me quedé muy sorprendido cuando el owa dejó de funcionar ya
que no veo que relacion puede tener con el isa. Lo cierto es que el exchange
de dentro es controlador adicional del dominio en el que esta instalado el
Isa. Parecia mas como que no podia resolver la validacion de los clientes en
el owa contra el dominio. ¿sería pq el controlador principal del dominio
estaba aislado por el isa? ¿no deberia validar contra el domino del servidor
exchange?

¿??¿¿?? (confusión absoluta)




"Ivan [MS MVP]" escribió:

No, no, ISA aqui no pinta nada... las peticiones van de la DMZ a traves del
PIX a la red interna... a no ser que uilices reglas de publicacion web: OWA,
IIS, etc

Un saludo.
Ivan
MS MVP ISA Server


"icegon" escribió en el mensaje
news:
> Perdona mi mala explicacion.
> el esquema es el siguiente:
>
> internet<-->PIX<> Red internta (isa en modo proxy)
> |
> DMZ
>
> Es el pix quien tiene los dos interfaces de red.
>
> Entonces.ademas de crear las reglas que me has comentado para permitir
> todo el trafico entre el host y la red interna, ¿como permito el trafico
> entre la dmz y la red interna? La infraestructura sin el isa ya esta
> montada
> y funcionando, es mas, antes tenia isa2k como proxy (tambien funcionando)
> pero puesto que tengo la actualizacion estoy intentado la migracion a
> isa2k4.
> El primer intento sin mucho exito.
>
> Gracias.
>
>
>
>
>
> "Ivan [MS MVP]" escribió:
>
>> Una pregunta. si ISA esta en modo cache y tienes esta configutacion:
>> Internet<>PIX<> Red interna
>> |
>> ISA
>> Realmente no hay DMZ, para tener DMZ ISA deberia tener dos interfaces de
>> red
>> y utilizar este esquema:
>> Internet<>PIX<>ISA<> Red interna
>>
>> Aqui si tendrias una DMZ entre el PIX y el ISA.
>>
>> Un saludo.
>> Ivan
>> MS MVP ISA Server
>>
>>
>> "icegon" escribió en el mensaje
>> news:
>> > ok. tambien tengo una DMZ creada a partir de un pix. ¿como puedo
>> > habilitar
>> > la
>> > comunicacion de esta red con la red interna? ¿como puedo hacer que el
>> > isa
>> > identifique esta red para luego darle acceso a la red interna?
>> >
>> > Muchas gracias.
>> >
>> >
>> >
>> >
>> > "Ivan [MS MVP]" escribió:
>> >
>> >> Aunque los instales en modo cache, ISA continua aplicando filtrado en
>> >> todos
>> >> los interfaces y por lo tanto debes crear las reglas de acceso
>> >> necesarias
>> >> para permitir la comunicacion entre red interna<->localhost.
>> >> Si no quieres que se aplique ningun filtrado, lo mas sencillo es crear
>> >> una
>> >> regla que permite todo el trafico en saliente desde localhost y red
>> >> interna,
>> >> a red interna y localhost a todos los usuarios.
>> >>
>> >> Un saludo.
>> >> Ivan
>> >> MS MVP ISA Server
>> >>
>> >>
>> >> "icegon" escribió en el mensaje
>> >> news:
>> >> > necesito instalar isa2k4 únicamente como proxy-acelerador. Existe la
>> >> > posiblidad durante la instalacion de obviar la funcionalidad de
>> >> > firewall??
>> >> > he
>> >> > visto en las notas que en servidores con una única tarjeta de red
>> >> > esta
>> >> > es
>> >> > la
>> >> > instalacion por defecto pero una vez instalado, el servicio de
>> >> > firewall
>> >> > se
>> >> > pone en marcha y me bloquea accesos al servidor en el que está
>> >> > instalado,
>> >> > etc...
>> >> >
>> >> > Gracias.
>> >> >
>> >> >
>> >> >
>> >> >
>> >>
>> >>
>> >>
>>
>>
>>

Hombre... el OWA necesita estar integrado en el dominio y si no puede
contactar con el DC
Al instalar ISA en el DC, nadie puede contactar con el. Tienes dos opciones:
1-La facil: si no quieres filtrado en el ISA, crea una regla de acceso que
permite todo el trafico en saliente desde localhost y red interna hacia
localhost y red interna a todos los usuarios.
2-La mas dificil: crear las reglas de acceso necesarias. Por ejemplo, para
el trafico entre dominios, deberias permitir los protocolos que indica este
articulo desde red interna a localhost
http://www.isaserver.org/articles/2...omain.html
Si hay mas DCs, permite tambien en la regla el acceso desde localhost a la
red interna.

Es una pena que el owa y los IIS esten protegidos por el PIX. Aqui ISA si
que es infinitamente superior al PIX.
Quizas no seria mala idea situar los servidores web en la red interna y
utilizar las reglas de publicacion web del ISA para tener un verdadero
filtrado a nivel de aplicacion. Ademas... si los servidores estan integrados
en el dominio interno, la DMZ, desde mi punto de vista, deja de ser una
DMZ. bueno, es una opinion personal.
Otra solucion, quizas la mejor para sacar provecho del filtrado HTTP de ISA
y proporcionar proteccion extra a los servidores WEB, seria esta:
Internet<>PIX<>ISA<> Red interna
|
DMZ

Bueno, meditalo, porque un cambio tan fuerte no se realiza en dos dias.
y por supuesto, realizar muchas pruebas.

Un saludo.
Ivan
MS MVP ISA Server


"icegon" escribió en el mensaje
news:

ostras que complicado es esto!!
en la DMZ tengo OWA e IIS. el equipo que tiene instalado ISA es
controlador
de dominio. Con la primera prueba de instalacion el OWA dejó de dar
servicio.
OWA(dmz) <-->EX2003 BBDD(inside)

Lo cierto es que me quedé muy sorprendido cuando el owa dejó de funcionar
ya
que no veo que relacion puede tener con el isa. Lo cierto es que el
exchange
de dentro es controlador adicional del dominio en el que esta instalado el
Isa. Parecia mas como que no podia resolver la validacion de los clientes
en
el owa contra el dominio. ¿sería pq el controlador principal del dominio
estaba aislado por el isa? ¿no deberia validar contra el domino del
servidor
exchange?

¿??¿¿?? (confusión absoluta)




"Ivan [MS MVP]" escribió:

No, no, ISA aqui no pinta nada... las peticiones van de la DMZ a traves
del
PIX a la red interna... a no ser que uilices reglas de publicacion web:
OWA,
IIS, etc

Un saludo.
Ivan
MS MVP ISA Server


"icegon" escribió en el mensaje
news:
> Perdona mi mala explicacion.
> el esquema es el siguiente:
>
> internet<-->PIX<> Red internta (isa en modo proxy)
> |
> DMZ
>
> Es el pix quien tiene los dos interfaces de red.
>
> Entonces.ademas de crear las reglas que me has comentado para
> permitir
> todo el trafico entre el host y la red interna, ¿como permito el
> trafico
> entre la dmz y la red interna? La infraestructura sin el isa ya esta
> montada
> y funcionando, es mas, antes tenia isa2k como proxy (tambien
> funcionando)
> pero puesto que tengo la actualizacion estoy intentado la migracion a
> isa2k4.
> El primer intento sin mucho exito.
>
> Gracias.
>
>
>
>
>
> "Ivan [MS MVP]" escribió:
>
>> Una pregunta. si ISA esta en modo cache y tienes esta
>> configutacion:
>> Internet<>PIX<> Red interna
>> |
>> ISA
>> Realmente no hay DMZ, para tener DMZ ISA deberia tener dos interfaces
>> de
>> red
>> y utilizar este esquema:
>> Internet<>PIX<>ISA<> Red interna
>>
>> Aqui si tendrias una DMZ entre el PIX y el ISA.
>>
>> Un saludo.
>> Ivan
>> MS MVP ISA Server
>>
>>
>> "icegon" escribió en el mensaje
>> news:
>> > ok. tambien tengo una DMZ creada a partir de un pix. ¿como puedo
>> > habilitar
>> > la
>> > comunicacion de esta red con la red interna? ¿como puedo hacer que
>> > el
>> > isa
>> > identifique esta red para luego darle acceso a la red interna?
>> >
>> > Muchas gracias.
>> >
>> >
>> >
>> >
>> > "Ivan [MS MVP]" escribió:
>> >
>> >> Aunque los instales en modo cache, ISA continua aplicando filtrado
>> >> en
>> >> todos
>> >> los interfaces y por lo tanto debes crear las reglas de acceso
>> >> necesarias
>> >> para permitir la comunicacion entre red interna<->localhost.
>> >> Si no quieres que se aplique ningun filtrado, lo mas sencillo es
>> >> crear
>> >> una
>> >> regla que permite todo el trafico en saliente desde localhost y red
>> >> interna,
>> >> a red interna y localhost a todos los usuarios.
>> >>
>> >> Un saludo.
>> >> Ivan
>> >> MS MVP ISA Server
>> >>
>> >>
>> >> "icegon" escribió en el mensaje
>> >> news:
>> >> > necesito instalar isa2k4 únicamente como proxy-acelerador. Existe
>> >> > la
>> >> > posiblidad durante la instalacion de obviar la funcionalidad de
>> >> > firewall??
>> >> > he
>> >> > visto en las notas que en servidores con una única tarjeta de red
>> >> > esta
>> >> > es
>> >> > la
>> >> > instalacion por defecto pero una vez instalado, el servicio de
>> >> > firewall
>> >> > se
>> >> > pone en marcha y me bloquea accesos al servidor en el que está
>> >> > instalado,
>> >> > etc...
>> >> >
>> >> > Gracias.
>> >> >
>> >> >
>> >> >
>> >> >
>> >>
>> >>
>> >>
>>
>>
>>

te agradezco mucho tu punto de vista resulta tremendamente interesante.

te voy a hacer una ultima pregunta y te dejo tranquilo que debes estar hasta
las narices de mi.

en que consisten exactamente los filtrados a nivel de aplicacion??

1000 gracias.




"Ivan [MS MVP]" escribió:

Hombre... el OWA necesita estar integrado en el dominio y si no puede
contactar con el DC
Al instalar ISA en el DC, nadie puede contactar con el. Tienes dos opciones:
1-La facil: si no quieres filtrado en el ISA, crea una regla de acceso que
permite todo el trafico en saliente desde localhost y red interna hacia
localhost y red interna a todos los usuarios.
2-La mas dificil: crear las reglas de acceso necesarias. Por ejemplo, para
el trafico entre dominios, deberias permitir los protocolos que indica este
articulo desde red interna a localhost
http://www.isaserver.org/articles/2...omain.html
Si hay mas DCs, permite tambien en la regla el acceso desde localhost a la
red interna.

Es una pena que el owa y los IIS esten protegidos por el PIX. Aqui ISA si
que es infinitamente superior al PIX.
Quizas no seria mala idea situar los servidores web en la red interna y
utilizar las reglas de publicacion web del ISA para tener un verdadero
filtrado a nivel de aplicacion. Ademas... si los servidores estan integrados
en el dominio interno, la DMZ, desde mi punto de vista, deja de ser una
DMZ. bueno, es una opinion personal.
Otra solucion, quizas la mejor para sacar provecho del filtrado HTTP de ISA
y proporcionar proteccion extra a los servidores WEB, seria esta:
Internet<>PIX<>ISA<> Red interna
|
DMZ

Bueno, meditalo, porque un cambio tan fuerte no se realiza en dos dias.
y por supuesto, realizar muchas pruebas.

Un saludo.
Ivan
MS MVP ISA Server


"icegon" escribió en el mensaje
news:
> ostras que complicado es esto!!
> en la DMZ tengo OWA e IIS. el equipo que tiene instalado ISA es
> controlador
> de dominio. Con la primera prueba de instalacion el OWA dejó de dar
> servicio.
> OWA(dmz) <-->EX2003 BBDD(inside)
>
> Lo cierto es que me quedé muy sorprendido cuando el owa dejó de funcionar
> ya
> que no veo que relacion puede tener con el isa. Lo cierto es que el
> exchange
> de dentro es controlador adicional del dominio en el que esta instalado el
> Isa. Parecia mas como que no podia resolver la validacion de los clientes
> en
> el owa contra el dominio. ¿sería pq el controlador principal del dominio
> estaba aislado por el isa? ¿no deberia validar contra el domino del
> servidor
> exchange?
>
> ¿??¿¿?? (confusión absoluta)
>
>
>
>
> "Ivan [MS MVP]" escribió:
>
>> No, no, ISA aqui no pinta nada... las peticiones van de la DMZ a traves
>> del
>> PIX a la red interna... a no ser que uilices reglas de publicacion web:
>> OWA,
>> IIS, etc
>>
>> Un saludo.
>> Ivan
>> MS MVP ISA Server
>>
>>
>> "icegon" escribió en el mensaje
>> news:
>> > Perdona mi mala explicacion.
>> > el esquema es el siguiente:
>> >
>> > internet<-->PIX<> Red internta (isa en modo proxy)
>> > |
>> > DMZ
>> >
>> > Es el pix quien tiene los dos interfaces de red.
>> >
>> > Entonces.ademas de crear las reglas que me has comentado para
>> > permitir
>> > todo el trafico entre el host y la red interna, ¿como permito el
>> > trafico
>> > entre la dmz y la red interna? La infraestructura sin el isa ya esta
>> > montada
>> > y funcionando, es mas, antes tenia isa2k como proxy (tambien
>> > funcionando)
>> > pero puesto que tengo la actualizacion estoy intentado la migracion a
>> > isa2k4.
>> > El primer intento sin mucho exito.
>> >
>> > Gracias.
>> >
>> >
>> >
>> >
>> >
>> > "Ivan [MS MVP]" escribió:
>> >
>> >> Una pregunta. si ISA esta en modo cache y tienes esta
>> >> configutacion:
>> >> Internet<>PIX<> Red interna
>> >> |
>> >> ISA
>> >> Realmente no hay DMZ, para tener DMZ ISA deberia tener dos interfaces
>> >> de
>> >> red
>> >> y utilizar este esquema:
>> >> Internet<>PIX<>ISA<> Red interna
>> >>
>> >> Aqui si tendrias una DMZ entre el PIX y el ISA.
>> >>
>> >> Un saludo.
>> >> Ivan
>> >> MS MVP ISA Server
>> >>
>> >>
>> >> "icegon" escribió en el mensaje
>> >> news:
>> >> > ok. tambien tengo una DMZ creada a partir de un pix. ¿como puedo
>> >> > habilitar
>> >> > la
>> >> > comunicacion de esta red con la red interna? ¿como puedo hacer que
>> >> > el
>> >> > isa
>> >> > identifique esta red para luego darle acceso a la red interna?
>> >> >
>> >> > Muchas gracias.
>> >> >
>> >> >
>> >> >
>> >> >
>> >> > "Ivan [MS MVP]" escribió:
>> >> >
>> >> >> Aunque los instales en modo cache, ISA continua aplicando filtrado
>> >> >> en
>> >> >> todos
>> >> >> los interfaces y por lo tanto debes crear las reglas de acceso
>> >> >> necesarias
>> >> >> para permitir la comunicacion entre red interna<->localhost.
>> >> >> Si no quieres que se aplique ningun filtrado, lo mas sencillo es
>> >> >> crear
>> >> >> una
>> >> >> regla que permite todo el trafico en saliente desde localhost y red
>> >> >> interna,
>> >> >> a red interna y localhost a todos los usuarios.
>> >> >>
>> >> >> Un saludo.
>> >> >> Ivan
>> >> >> MS MVP ISA Server
>> >> >>
>> >> >>
>> >> >> "icegon" escribió en el mensaje
>> >> >> news:
>> >> >> > necesito instalar isa2k4 únicamente como proxy-acelerador. Existe
>> >> >> > la
>> >> >> > posiblidad durante la instalacion de obviar la funcionalidad de
>> >> >> > firewall??
>> >> >> > he
>> >> >> > visto en las notas que en servidores con una única tarjeta de red
>> >> >> > esta
>> >> >> > es
>> >> >> > la
>> >> >> > instalacion por defecto pero una vez instalado, el servicio de
>> >> >> > firewall
>> >> >> > se
>> >> >> > pone en marcha y me bloquea accesos al servidor en el que está
>> >> >> > instalado,
>> >> >> > etc...
>> >> >> >
>> >> >> > Gracias.
>> >> >> >
>> >> >> >
>> >> >> >
>> >> >> >
>> >> >>
>> >> >>
>> >> >>
>> >>
>> >>
>> >>
>>
>>
>>

Por ejemplo, filtrado HTTP:
http://www.microsoft.com/technet/pr...ering.mspx
Lo puedes aplicar a nivel de reglas de publicacion web y reglas de acceso
HTTP:
http://www.microsoft.com/isaserver/...efault.asp

Si conoces como estan diseñados tus sitios web, partiendo de la
configuracion base, puedes ajustarlo aun mas: longitud max de las URL, las
querys, metodos permitidos, extensiones, etc
Una caracteristica muy importante de una simple regla de publicacion (si
esta bien configurada) es que solo perrmte las peticiones al sitio web
publicado y los paths que autorizas. Una peticion a la IP publica se
rechaza, piensa en el nimda, code red, etc. simplemente con una regla de
publicacion web, problema resuelto. Para sitios web seguros, usando SSL
brinding puedes seguir inspeccionando el contenido.
http://www.microsoft.com/technet/pr...shing.mspx
http://www.microsoft.com/technet/pr...rvers.mspx

Ademas de lo anterior, el filtro Exchange RPC permite al acceso de clientes
MAPI de forma seguro, el filtro SMTP proporciona proteccion extra y
conbinado con el message screener, mas aun. El filtro DNS, FTP, POP3, etc,
etc Ten en cuenta que para utilizar todas estas caracteristicas, no sirve
con ISA en modo cache.
http://www.microsoft.com/technet/pr...ilter.mspx
http://www.microsoft.com/technet/pr...e2003.mspx
http://www.microsoft.com/technet/pr...rvers.mspx
Y un largisimo etc mejor mira por aqui, que lo tienes todo:
http://www.microsoft.com/technet/pr...fault.mspx

Un saludo.
Ivan
MS MVP ISA Server


"icegon" escribió en el mensaje
news:

te agradezco mucho tu punto de vista resulta tremendamente interesante.

te voy a hacer una ultima pregunta y te dejo tranquilo que debes estar
hasta
las narices de mi.

en que consisten exactamente los filtrados a nivel de aplicacion??

1000 gracias.




"Ivan [MS MVP]" escribió:

Hombre... el OWA necesita estar integrado en el dominio y si no puede
contactar con el DC
Al instalar ISA en el DC, nadie puede contactar con el. Tienes dos
opciones:
1-La facil: si no quieres filtrado en el ISA, crea una regla de acceso
que
permite todo el trafico en saliente desde localhost y red interna hacia
localhost y red interna a todos los usuarios.
2-La mas dificil: crear las reglas de acceso necesarias. Por ejemplo,
para
el trafico entre dominios, deberias permitir los protocolos que indica
este
articulo desde red interna a localhost
http://www.isaserver.org/articles/2...omain.html
Si hay mas DCs, permite tambien en la regla el acceso desde localhost a
la
red interna.

Es una pena que el owa y los IIS esten protegidos por el PIX. Aqui ISA si
que es infinitamente superior al PIX.
Quizas no seria mala idea situar los servidores web en la red interna y
utilizar las reglas de publicacion web del ISA para tener un verdadero
filtrado a nivel de aplicacion. Ademas... si los servidores estan
integrados
en el dominio interno, la DMZ, desde mi punto de vista, deja de ser una
DMZ. bueno, es una opinion personal.
Otra solucion, quizas la mejor para sacar provecho del filtrado HTTP de
ISA
y proporcionar proteccion extra a los servidores WEB, seria esta:
Internet<>PIX<>ISA<> Red interna
|
DMZ

Bueno, meditalo, porque un cambio tan fuerte no se realiza en dos
dias.
y por supuesto, realizar muchas pruebas.

Un saludo.
Ivan
MS MVP ISA Server


"icegon" escribió en el mensaje
news:
> ostras que complicado es esto!!
> en la DMZ tengo OWA e IIS. el equipo que tiene instalado ISA es
> controlador
> de dominio. Con la primera prueba de instalacion el OWA dejó de dar
> servicio.
> OWA(dmz) <-->EX2003 BBDD(inside)
>
> Lo cierto es que me quedé muy sorprendido cuando el owa dejó de
> funcionar
> ya
> que no veo que relacion puede tener con el isa. Lo cierto es que el
> exchange
> de dentro es controlador adicional del dominio en el que esta instalado
> el
> Isa. Parecia mas como que no podia resolver la validacion de los
> clientes
> en
> el owa contra el dominio. ¿sería pq el controlador principal del
> dominio
> estaba aislado por el isa? ¿no deberia validar contra el domino del
> servidor
> exchange?
>
> ¿??¿¿?? (confusión absoluta)
>
>
>
>
> "Ivan [MS MVP]" escribió:
>
>> No, no, ISA aqui no pinta nada... las peticiones van de la DMZ a
>> traves
>> del
>> PIX a la red interna... a no ser que uilices reglas de publicacion
>> web:
>> OWA,
>> IIS, etc
>>
>> Un saludo.
>> Ivan
>> MS MVP ISA Server
>>
>>
>> "icegon" escribió en el mensaje
>> news:
>> > Perdona mi mala explicacion.
>> > el esquema es el siguiente:
>> >
>> > internet<-->PIX<> Red internta (isa en modo proxy)
>> > |
>> > DMZ
>> >
>> > Es el pix quien tiene los dos interfaces de red.
>> >
>> > Entonces.ademas de crear las reglas que me has comentado para
>> > permitir
>> > todo el trafico entre el host y la red interna, ¿como permito el
>> > trafico
>> > entre la dmz y la red interna? La infraestructura sin el isa ya esta
>> > montada
>> > y funcionando, es mas, antes tenia isa2k como proxy (tambien
>> > funcionando)
>> > pero puesto que tengo la actualizacion estoy intentado la migracion
>> > a
>> > isa2k4.
>> > El primer intento sin mucho exito.
>> >
>> > Gracias.
>> >
>> >
>> >
>> >
>> >
>> > "Ivan [MS MVP]" escribió:
>> >
>> >> Una pregunta. si ISA esta en modo cache y tienes esta
>> >> configutacion:
>> >> Internet<>PIX<> Red interna
>> >> |
>> >> ISA
>> >> Realmente no hay DMZ, para tener DMZ ISA deberia tener dos
>> >> interfaces
>> >> de
>> >> red
>> >> y utilizar este esquema:
>> >> Internet<>PIX<>ISA<> Red interna
>> >>
>> >> Aqui si tendrias una DMZ entre el PIX y el ISA.
>> >>
>> >> Un saludo.
>> >> Ivan
>> >> MS MVP ISA Server
>> >>
>> >>
>> >> "icegon" escribió en el mensaje
>> >> news:
>> >> > ok. tambien tengo una DMZ creada a partir de un pix. ¿como puedo
>> >> > habilitar
>> >> > la
>> >> > comunicacion de esta red con la red interna? ¿como puedo hacer
>> >> > que
>> >> > el
>> >> > isa
>> >> > identifique esta red para luego darle acceso a la red interna?
>> >> >
>> >> > Muchas gracias.
>> >> >
>> >> >
>> >> >
>> >> >
>> >> > "Ivan [MS MVP]" escribió:
>> >> >
>> >> >> Aunque los instales en modo cache, ISA continua aplicando
>> >> >> filtrado
>> >> >> en
>> >> >> todos
>> >> >> los interfaces y por lo tanto debes crear las reglas de acceso
>> >> >> necesarias
>> >> >> para permitir la comunicacion entre red interna<->localhost.
>> >> >> Si no quieres que se aplique ningun filtrado, lo mas sencillo es
>> >> >> crear
>> >> >> una
>> >> >> regla que permite todo el trafico en saliente desde localhost y
>> >> >> red
>> >> >> interna,
>> >> >> a red interna y localhost a todos los usuarios.
>> >> >>
>> >> >> Un saludo.
>> >> >> Ivan
>> >> >> MS MVP ISA Server
>> >> >>
>> >> >>
>> >> >> "icegon" escribió en el
>> >> >> mensaje
>> >> >> news:
>> >> >> > necesito instalar isa2k4 únicamente como proxy-acelerador.
>> >> >> > Existe
>> >> >> > la
>> >> >> > posiblidad durante la instalacion de obviar la funcionalidad
>> >> >> > de
>> >> >> > firewall??
>> >> >> > he
>> >> >> > visto en las notas que en servidores con una única tarjeta de
>> >> >> > red
>> >> >> > esta
>> >> >> > es
>> >> >> > la
>> >> >> > instalacion por defecto pero una vez instalado, el servicio de
>> >> >> > firewall
>> >> >> > se
>> >> >> > pone en marcha y me bloquea accesos al servidor en el que está
>> >> >> > instalado,
>> >> >> > etc...
>> >> >> >
>> >> >> > Gracias.
>> >> >> >
>> >> >> >
>> >> >> >
>> >> >> >
>> >> >>
>> >> >>
>> >> >>
>> >>
>> >>
>> >>
>>
>>
>>