Forums Últimos mensajes - Powered by IBM
 
Tags Palabras claves

ISA 3 patas: funciona pero ¿por qué?

08/07/2004 - 08:20 por Beemer | Informe spam
Ayuda Hacer una pregunta
Buenos días, quería consultaros una duda de concepto:
Tengo desde hace meses un ISA de dos patas que se encarga de que una
delegación entre por VPN PPTP en la central mediante un ADSL. En la pata
exterior está el router ADSL y en la interior la red privada, que está dada
de alta completa en la LAT. Todo funciona correctamente.

Peo ayer, con el fín de que una empresa hermana, que se ha instalado en el
mismo edificio de la central, acceda a determinados servicios de uno de los
servidores, añadí una tercera tarjeta a este mismo ISA, conectada a la red
de la empresa Hermana. Y empecé a probar configuraciones:
1-)Si añadía la red completa Hermana a la LAT, ISA consideraba que era
interna y no había comunicación entre ellas.
2-)Si no añadía la red Hermana a la LAT, ISA la consideraba externa.
Entonces puse un filtro de paquetes (pasa-todo para probar) con
origen Local el servidor en central que ofrece el servicio y remoto la red
Hermana completa: No funciona.
Si cambiaba el origen a la interfaz externa del ISA si funcionaba,
pero Hermana accedía a toda la red Central, no solo al servidor concreto,
como se deseaba.
Esto mismo ocurría si Local era una red que incluyera al NIC de
Central en el ISA.
3-)La solución: Cambié la IP del NIC del ISA para Hermana a la 245 (clase C)
e incluí en la LAT las direcciones 1-253 (Es decir toda excepto la propia
NIC del ISA)
Probé el filtro de paquetes anterior, es decir Local el servidor de
Central que ofrece el servicio y Remoto Toda la red Hermana (la clase C
entera, incluyendo la pata del ISA): Funciona exactamente como se desea.
Limité el filtro al puerto concreto del servicio prestado por el
servidor y funcionó correctamente, Hermana solo puede ver en Central a ese
servidor por ese puerto y Central no ve en absoluto a Hermana.


Y aquí viene la pregunta: Esta solución reconozco que la encontrá a tanteo,
y después de pasarme la noche sin dormir, sigo sin comprender porque
funciona. Si alguien lo entiende, me gustaría que me lo explicase, porque no
me quedo agusto, como supongo que le pasaría a cualquiera de vosotros.
Por otro lado, ¿por que no funcionaba la solución 2-1? Aquí pienso que
probablemente era una cuestión de NAT, aunque cometí la torpeza de no hacer
unos netstat -na en ambos extremos para verificar que veía cada cual, si
IP's reales o la de la para del ISA cuando al abrir en 2-2 a una red
superior empezaba a funcionar.

Perdón por la extensión, pero es dificil concentrar en menos líneas seis
horas de quebradero de cabeza (sin contar toda la noche pensando).

Un saludo.
beemer
email Siga el debateRespuesta 7 respuestasRespuesta Tengo una respuesta

Preguntas similare

Leer las respuestas

#6 Beemer
08/07/2004 - 15:54 | Informe spam
Muchisimas gracias, Ivan.
Esta mañana he aprendido mucho y lo que me queda por mirar en los enlaces
que me has dado y que he visto has dado a otros.

Creo que ya que funciona, virgencita y me espero a ISA 2004, ya que lo
que me comentas en el último de RRAS no lo había pensado, pero yo en Tuxedo
necesito puertos dinámicos (en Exchange tengo tocado el registro para que se
este quietecito en un rango de cincomiles).

Genial tu trabajo.

Beemer.

"Ivan [MS MVP]" escribió en el mensaje
news:
"Beemer" escribió en el mensaje
news:
> Hola Ivan,
> El tráfico que tengo que permitir es que desde la red Hermana (DMZ en
> terminos ISA) los equipos XP se conecten a SMB (445) en W2K, Oracle


(1521)
> en Unix, Tuxedo(7000 y dinámico) en NT y Lanmanserver


(UDP137-138,TCP139)
en
> NT. Mas adelante a SQL server. Ya está configurado todo esto y funciona.
Los
> equipos de la red Hermana están en un grupo de trabajo, pero se
identifican
> con cuentas del dominio principal (NT) habilitadas al efecto para hcer


los
> mapeos SMB y Lanmanserver y cuentas Oracle para Oracle y Tuxedo.

Complicado realizarlo en una configuracion Three-homed DMZ, aunque es
perfectamente posible. NetBIOS olvidate, aunque puedes utilizar un WINS en
cada red y configurar la replicacion. Como necesitas publicar 445, la


unica
forma de hacerlo para empezar es deshabilitando NetBIOS sobre TCP/IP
totalmente, no desde las propiedades de TCP/IP si no desde el


adminsitrador
de dispositivos con lo cual la unica forma de adminsitrar el ISA es


mediante
terminal services u otros programas de control remoto. Tambien, por cada
servidor que necesites publicar para acceder con direct host (445 TCP)
necesitas usar una IP en el interface DMZ, bueno esto para cualquier
servicio, si por ejmeplo tienes dos SQL necesitas dos IPs en el inetrface
DMS del ISA y publicar 1433 TCP en cada IP.

>
> Sobre el tema de filtrado de paquetes por RRAS, que me interesa mucho,


he
> estado revisando el documento que me indicas, pero solo veo que hable


del
> filtrado de propiedades de TCP/IP pero buscando en el Technet he
encontrado
> donde hacerlo en RRAS (está escondidillo el tema). Luego me he acordado


de
> que en alguna ocasión lo he utilizado para limitar el tráfico de las


VPN,
> pero no había caido en usarlo de esta manera.

Si, lo habitual es cerrar todo y permitir los puertos y protocolos del
trafico VPN.

>
> Supongo que hacerlo por RRAS al estar sportado por Microsoft, será mas
> seguro que hacerlo por ISA. Pero lo sorprendente es que funcione. No


estoy
> de acuerdo en que ISA opine que sean IP spoofing las peticiones del
cliente
> de pruebas, ya que de hecho esta en la misma subred que el interface DMZ
del
> ISA a nivel de configuración del NIC.

Pues ni de coña ;-) el filtrado de RRAS es el filtrado de paquetes de
toda la vida, no hay inspeccion de estado, ni filtros de aplicaciones ni
nada de nada. Si quieres permitir por ejemplo ftp, debes permitir el


puerto
21 TCP en entrante a la IPs o rangos de IPs y por otro lado crear otro
filtro en entrante que permite todos los puertos al puerto destino 20 mas
los filtros en saliente para las dos operaciones anteriores: origen 21


TCP,
destino all ports, origen 20 TCP destino all ports. Esto en ISA no es
necesario gracias al filtro FTP, no tienes que permitir ramgos de puertos
enormes. Si por ejemplo necesitas permitir FTP pasv con RRAS casi mejor ni
usar filtrado...
Tambien para permitir RPC vas a necesitar realziar cambios en el registro


en
los servidores para limitar el rango de puertos dinamicos, si no lo haces,
el filtrado de RRAS no hace nada ya que tendrias que.permitir


absolutamente
todo. Esto con el filtro any RPC del ISA no es necesario si bien, al tener
NAT exige una IP sobre el inetrface DMZ por cada servidor publicado.

>
> Yo me inclino mas, por el lado de NAT. Creo que si meto el interface NIC
DMZ
> de ISA en la LAT, ISA lo considera interno y le pasa el trabajo a RRAS,
pero
> si no meto ni el interface ni la red Hermana, me hace NAT en las
peticiones
> de la red interna a la DMZ y por eso falla. Sin embargo al meter toda la
red
> DMZ como Interna en LAT, menos la propia NIC del ISA no hace NAT ni se


lo
> pasa al RRAS.
> A lo mejor lo que digo es una tontería, pero no se me ocurre otra cosa.
¿tu
> que opinas?

Estas poniendo en la LAT direcciones externas. Esto no es logico aunque


por
poder... Desde mi punto de vista es una configuracion erronea. La relacion
entre red interna y DMZ es de NAT, luego si esas direcciones estan en


la
LAT, dificilmente un cliente firewall va a poder alcanzar la DMZ.

>
> En cualquier caso, y aparte del deseo de saber porqué esta funcionando,
creo
> que lo voy a cambiar todo, como recomiendas, a filtrado por RRAS.


Anteayer
> estuve en una presentación de ISA 2004 y la verdad es que estas cosas


las
> hace mucho mas simples...

Si, no hay color, ya que puedes establecer la relacion entre red interna y
DMZ como routing y es mucho mas sencillo. ISA 2004 tiene que estar al


caer.
Si no te corre mucha prisa, igual merece la pena esperar un poquito

Un saludo.
Ivan
MS MVP ISA Server



Respuesta Responder a este mensaje
#7 Ivan [MS MVP]
09/07/2004 - 07:55 | Informe spam
;-)
ISA 2004 tiene que estar al caer, a ver si es verdad

Un saludo.
Ivan
MS MVP ISA Server


"Beemer" escribió en el mensaje
news:%
Muchisimas gracias, Ivan.
Esta mañana he aprendido mucho y lo que me queda por mirar en los enlaces
que me has dado y que he visto has dado a otros.

Creo que ya que funciona, virgencita y me espero a ISA 2004, ya que lo
que me comentas en el último de RRAS no lo había pensado, pero yo en


Tuxedo
necesito puertos dinámicos (en Exchange tengo tocado el registro para que


se
este quietecito en un rango de cincomiles).

Genial tu trabajo.

Beemer.

"Ivan [MS MVP]" escribió en el mensaje
news:
> "Beemer" escribió en el mensaje
> news:
> > Hola Ivan,
> > El tráfico que tengo que permitir es que desde la red Hermana (DMZ en
> > terminos ISA) los equipos XP se conecten a SMB (445) en W2K, Oracle
(1521)
> > en Unix, Tuxedo(7000 y dinámico) en NT y Lanmanserver
(UDP137-138,TCP139)
> en
> > NT. Mas adelante a SQL server. Ya está configurado todo esto y


funciona.
> Los
> > equipos de la red Hermana están en un grupo de trabajo, pero se
> identifican
> > con cuentas del dominio principal (NT) habilitadas al efecto para hcer
los
> > mapeos SMB y Lanmanserver y cuentas Oracle para Oracle y Tuxedo.
>
> Complicado realizarlo en una configuracion Three-homed DMZ, aunque es
> perfectamente posible. NetBIOS olvidate, aunque puedes utilizar un WINS


en
> cada red y configurar la replicacion. Como necesitas publicar 445, la
unica
> forma de hacerlo para empezar es deshabilitando NetBIOS sobre TCP/IP
> totalmente, no desde las propiedades de TCP/IP si no desde el
adminsitrador
> de dispositivos con lo cual la unica forma de adminsitrar el ISA es
mediante
> terminal services u otros programas de control remoto. Tambien, por cada
> servidor que necesites publicar para acceder con direct host (445 TCP)
> necesitas usar una IP en el interface DMZ, bueno esto para cualquier
> servicio, si por ejmeplo tienes dos SQL necesitas dos IPs en el


inetrface
> DMS del ISA y publicar 1433 TCP en cada IP.
>
> >
> > Sobre el tema de filtrado de paquetes por RRAS, que me interesa mucho,
he
> > estado revisando el documento que me indicas, pero solo veo que hable
del
> > filtrado de propiedades de TCP/IP pero buscando en el Technet he
> encontrado
> > donde hacerlo en RRAS (está escondidillo el tema). Luego me he


acordado
de
> > que en alguna ocasión lo he utilizado para limitar el tráfico de las
VPN,
> > pero no había caido en usarlo de esta manera.
>
> Si, lo habitual es cerrar todo y permitir los puertos y protocolos del
> trafico VPN.
>
> >
> > Supongo que hacerlo por RRAS al estar sportado por Microsoft, será mas
> > seguro que hacerlo por ISA. Pero lo sorprendente es que funcione. No
estoy
> > de acuerdo en que ISA opine que sean IP spoofing las peticiones del
> cliente
> > de pruebas, ya que de hecho esta en la misma subred que el interface


DMZ
> del
> > ISA a nivel de configuración del NIC.
>
> Pues ni de coña ;-) el filtrado de RRAS es el filtrado de paquetes


de
> toda la vida, no hay inspeccion de estado, ni filtros de aplicaciones ni
> nada de nada. Si quieres permitir por ejemplo ftp, debes permitir el
puerto
> 21 TCP en entrante a la IPs o rangos de IPs y por otro lado crear otro
> filtro en entrante que permite todos los puertos al puerto destino 20


mas
> los filtros en saliente para las dos operaciones anteriores: origen 21
TCP,
> destino all ports, origen 20 TCP destino all ports. Esto en ISA no es
> necesario gracias al filtro FTP, no tienes que permitir ramgos de


puertos
> enormes. Si por ejemplo necesitas permitir FTP pasv con RRAS casi mejor


ni
> usar filtrado...
> Tambien para permitir RPC vas a necesitar realziar cambios en el


registro
en
> los servidores para limitar el rango de puertos dinamicos, si no lo


haces,
> el filtrado de RRAS no hace nada ya que tendrias que.permitir
absolutamente
> todo. Esto con el filtro any RPC del ISA no es necesario si bien, al


tener
> NAT exige una IP sobre el inetrface DMZ por cada servidor publicado.
>
> >
> > Yo me inclino mas, por el lado de NAT. Creo que si meto el interface


NIC
> DMZ
> > de ISA en la LAT, ISA lo considera interno y le pasa el trabajo a


RRAS,
> pero
> > si no meto ni el interface ni la red Hermana, me hace NAT en las
> peticiones
> > de la red interna a la DMZ y por eso falla. Sin embargo al meter toda


la
> red
> > DMZ como Interna en LAT, menos la propia NIC del ISA no hace NAT ni se
lo
> > pasa al RRAS.
> > A lo mejor lo que digo es una tontería, pero no se me ocurre otra


cosa.
> ¿tu
> > que opinas?
>
> Estas poniendo en la LAT direcciones externas. Esto no es logico aunque
por
> poder... Desde mi punto de vista es una configuracion erronea. La


relacion
> entre red interna y DMZ es de NAT, luego si esas direcciones estan


en
la
> LAT, dificilmente un cliente firewall va a poder alcanzar la DMZ.
>
> >
> > En cualquier caso, y aparte del deseo de saber porqué esta


funcionando,
> creo
> > que lo voy a cambiar todo, como recomiendas, a filtrado por RRAS.
Anteayer
> > estuve en una presentación de ISA 2004 y la verdad es que estas cosas
las
> > hace mucho mas simples...
>
> Si, no hay color, ya que puedes establecer la relacion entre red interna


y
> DMZ como routing y es mucho mas sencillo. ISA 2004 tiene que estar al
caer.
> Si no te corre mucha prisa, igual merece la pena esperar un poquito
>
> Un saludo.
> Ivan
> MS MVP ISA Server
>
>
>


email Siga el debate Respuesta Responder a este mensaje
Ads by Google
Help Hacer una pregunta AnteriorRespuesta Tengo una respuesta
Search Busqueda sugerida