W2003Server Servidor de Seguridad Basico NAT.

Tu granito de arena será siempre muy bienvenido.
No hay nada que disculparse...faltaria mas.
Encima que te pido ayuda.
Aqui el unico que tiene que dar las gracias soy yo!!!
por dedicarme tu tiempo.

Muy amable.
CmteSpy

Desiderio Ondo. escribió:

Hola, Cmte SPY:

Ah! En la comunidad del foro, somos muchos los que respondemos
a preguntas formuladas por usuarios, administradores, ingenieros...
y varias de las respuestas a veces no son al 100% correctas o, en
ocasiones existen otras posibilidades más viables de cara a la persona
que hace la consulta.

Con ésto, lo que quiero decirte es que por descracia, mis respuestas no
siempre son las más indicadas, y te ruego tengas también en cuenta lo
que pudieran recomendarte otros colaboradores del foro (especialmente
aquellos que tengan el reconocimiento MVP de Microsoft, que para algo
se lo han "currado").

No obstante, siempre que me sea posible, trataré de aportar mi granito
de arena, indicando soluciones que yo mismo aplicaría en tu situación. Si
en alguno de los casos notas un fallo en mis respuestas, te ruego trates de
corregirme y disculparme, ya que nadie es perfecto.

Desiderio Ondo. escribió:

Hola, Cmte SPY:

"Mi puerta de enlace es la IP de mi <server>...(..)" Es un detalle que me ha
llamado mucho la atención, ya que configurar la IP de un <server> como la
puerta de enlace es precisamente una de las 3 maneras de configurar un PC
como cliente PROXY/ISA (generalmente, dicho <server> suele ser PROXY).

Claro, Desiderio. Como te comenté, tengo SERVDIR+ROUTER en un rango IP y
SERVIDOR+CLIENTES en otro rango (2 tarjetas). Con eso, monté en el RAS
del 2003 un NAT para que me añada algo de seguridad con los equipos
clientes. El router bloquea entradas, y justo despues esta el servidor,
que tambien las bloquea con el Firewall Basico que lleva el 2003 server.
Los DNS's y las IP's ME IMAGINO q estaran bien configuradas, ya que
puedo navegar PERFECTAMENTE por internet atravez de mis equipos
clientes. Solo me esta fallando el FTP.
Si hubiera algun problema con DNS o Gateways, estamos de acuerdo que
navegar seria una tarea dificil, por no decir imposible, verdad?
Sin embargo...todo funciona perfectamente.

Si se te ocurre algo, comentame...vale?

Yo estaré investigando por otro lado...

GRacias una vez mas por tu tiempo!!!

A raíz de éstos nuevos datos, te recomiendo eches un buen vistazo a la conf.
de red (y de paso, DNS) de tu red corporativa, ya que posiblemente haya algo
raro por ahí. Recuerda que, como puerta de enlace se suele asignar la IP del
switch que interconecta el <server> con el resto de los nodos de la red,
mientras
que como DNS es muy recomendable configurar tanto en el <server> como en
los clientes únicamente la IP del servidor DNS de tu red corporativa (que, a
menos que hayas definido alguno explícitamente, suele ser el/los <DC> de la
red corporativa). Para más info, te recomiendo eches un vistazo a:

Configuración correcta del DNS:
http://www.microsoft.com/technet/pr...x?mfr=true

Configuración de un servidor DNS para usarlo con Active Directory:
https://www.microsoft.com/technet/p...c3a0a.mspx

Configuración de un gateway predeterminado:
http://www.microsoft.com/technet/pr...x?mfr=true

FTP es un protocolo "Simple de Usar", pero muy "Complicado de Natear" :-)
Ya que puede funcionar en modo Port o Pasivo. En un caso aunque te conectas
al puerto 21, luego el servidor FTP inicia una conexión al cliente interno,
y esto es lo que un NAT básico no puede abrir dinámincamente

Si usas IE, revisa estas configuraciones (lo tengo en inglés)
- Enable FGP folder view
- Use Passive FTP
Sobre todo la última

Para pruebas de conexión lo mejor creo que es el fTP de línea de comando
FTP
OPEN w.x.y.z
...


Guillermo Delprato
MVP - MCT - MCSE
Buenos Aires, Argentina

Este mensaje se proporciona "como está" sin garantías de ninguna clase,y no
otorga ningún derecho. Ud. asume los riesgos
This posting is provided "AS IS" with no warranties, and confer no rights.
You assume all risk for your use.



"I.P.-" wrote in message
news:%

Estimados Expertos,

Por favor, a ver si alguien me puede dar solucion a un problemilla que
tengo.

Servidor Windows 2003 Server STD
2 Adaptadores de RED: "INTRANET - (192.168.1.X)" e "INTERNET -
(192.168.2.X)"
Router ADSL 192.168.2.X
Configurado Enrutamiento y acceso remoto con Servidor de seguridad basico
o NAT

Todo funciona aparentemente perfecto desde hace unos 2 meses.
Los puestos clientes (5 clientes) pueden navegar perfectamente atraves de
la web, y me imagino que con algo mas de seguridad, que si estuvieramos
haciendolo directamente desde el router.
Soy consciente que el servidor de serguridad, como su propio nombre indica
es BASICO, pero para este entorno en concreto, me parece que cumple
perfectamente su funcion.

Mi problema viene a raiz de que una de las maquinas clientes, necesita
hacer una conexion al puerto 21, a nuestro servidor (ISP externo) de FTP.
No hay manera de conectar. Creia que el problema era el IE, instalando un
cliente de FTP y seguimos con el bloqueo.

Estuve mirando las opciones del RAS pero la verdad, me lia un poco todo
eso?
Donde y como tendria yo que dar "salida" al puerto 21? En el adaptador
INTERNET o INTRANET? OJO, no quiero aceptar peticiones al puerto 21 en mi
servidor. NO TENGO SERVIDOR FTP LOCAL. Necesito conectarme a un FTP
externo.

Si alguien me puede ayudar, estaria muy agradecido.

Gracias por vuestro tiempo.

Salu2
IP

Estimado Guillermo,
Antes de nada, agradecer tus comentarios.
A ver:

De momento esta descartado el IE para las sesiones en FTP. Estoy
utilizando un cliente "de verdad" de FTP. Con eso espero minimizar
errores de cualquier tipo. Aparte es un cliente que lo utilizo yo
personalmente desde hace mucho, y siempre me ha dado muy buenos
resultados. Lo de pasivo o Port, eso si me pillas. El cliente NO lo
tengo en pasivo y mañana mismo lo probaré.
Investigando un poco por ahi, tambien descobri, que en el interface WAN
de mi RAS / NAT, hay una opcion de Servidor de Seguridad Basico (Enable
a basic Firewall on this interface - en la version ingles) que se puede
habilitar o no. Probé deshabilitando y continua con el mismo problema.
Guillermo, no soy experto en protocolos de RED, pero si un router
GRATUITO de Telefonica ADSL es capaz de hacer un NAT, con un firewall
muy malo, proteger una RED (dentro de lo que cabe) y aun permitir
conexiones a FTP sin problemas, como es posible que el NAT del 2003 no
este preparado, o no lo contemple, o simplemente sea tremendamente
complejo su configuracion? Un poco raro... A lo mejor digo una
barbaridad y por favor, perdonarme... ;-)

Se me estan agotando las posibilidades. :-((

Ya te contaré el modo pasivo como se comporta.

Si se te ocurre algo mas, no dudes en comentarmelo.

Un Saludo y muchas gracias.


Guillermo Delprato [MS-MVP] escribió:

FTP es un protocolo "Simple de Usar", pero muy "Complicado de Natear" :-)
Ya que puede funcionar en modo Port o Pasivo. En un caso aunque te
conectas al puerto 21, luego el servidor FTP inicia una conexión al
cliente interno, y esto es lo que un NAT básico no puede abrir
dinámincamente

Si usas IE, revisa estas configuraciones (lo tengo en inglés)
- Enable FGP folder view
- Use Passive FTP
Sobre todo la última

Para pruebas de conexión lo mejor creo que es el fTP de línea de comando
FTP
OPEN w.x.y.z
...

FTP es complejo de verdad :-)
No es que un NAT sea mejor o peor que otro, simplemente se trata de si
incluye el "NAT Editor" para el protocolo

NAT para distribuir varios clientes con una conexión, primero trata de
montarlos en las diferentes IP públicas (si tuviera). Cuando se agotan o hay
sólo una, entonces empieza a cambiar los PORTs del protocolo (TCP o UDP)
Otra de las dificultades de FTP, es que hay direcciones IP dentro del
Payload (los datos), entonces el NAT trabaja de verdad :-)
Tiene que hacerlo a nivel IP (cambiando IPs), tiene que hacerlo a nivel
protocolo (cambiando los Ports) y en el caso de FTP hasta tiene que cambiar
los datos. A todo lo demás hay que agregarle que tiene que recalcular los
checksums de cada nivel

Una buena explicación
Active FTP vs. Passive FTP, a Definitive Explanation:
http://www.slacksite.com/other/ftp.html

También yo replantearía un configuración "rara" que tienes :-)
Si el server está usando en ambas redes direcciones privadas (192.168.y.z)
no tiene mucho sentido que haga NAT. Más vale que haga Routing (mucho más
liviano), ya que el NAT lo está haciendo lo que llamas "Router ADSL"
Igual que con NAT, Routing puede aplicar filtrado básico de paquetes


Guillermo Delprato
MVP - MCT - MCSE
Buenos Aires, Argentina

Este mensaje se proporciona "como está" sin garantías de ninguna clase,y no
otorga ningún derecho. Ud. asume los riesgos
This posting is provided "AS IS" with no warranties, and confer no rights.
You assume all risk for your use.



"Cmte SPY" wrote in message
news:

Estimado Guillermo,
Antes de nada, agradecer tus comentarios.
A ver:

De momento esta descartado el IE para las sesiones en FTP. Estoy
utilizando un cliente "de verdad" de FTP. Con eso espero minimizar errores
de cualquier tipo. Aparte es un cliente que lo utilizo yo personalmente
desde hace mucho, y siempre me ha dado muy buenos resultados. Lo de pasivo
o Port, eso si me pillas. El cliente NO lo tengo en pasivo y mañana mismo
lo probaré.
Investigando un poco por ahi, tambien descobri, que en el interface WAN de
mi RAS / NAT, hay una opcion de Servidor de Seguridad Basico (Enable a
basic Firewall on this interface - en la version ingles) que se puede
habilitar o no. Probé deshabilitando y continua con el mismo problema.
Guillermo, no soy experto en protocolos de RED, pero si un router GRATUITO
de Telefonica ADSL es capaz de hacer un NAT, con un firewall muy malo,
proteger una RED (dentro de lo que cabe) y aun permitir conexiones a FTP
sin problemas, como es posible que el NAT del 2003 no este preparado, o no
lo contemple, o simplemente sea tremendamente complejo su configuracion?
Un poco raro... A lo mejor digo una barbaridad y por favor, perdonarme...
;-)

Se me estan agotando las posibilidades. :-((

Ya te contaré el modo pasivo como se comporta.

Si se te ocurre algo mas, no dudes en comentarmelo.

Un Saludo y muchas gracias.


Guillermo Delprato [MS-MVP] escribió:

FTP es un protocolo "Simple de Usar", pero muy "Complicado de Natear" :-)
Ya que puede funcionar en modo Port o Pasivo. En un caso aunque te
conectas al puerto 21, luego el servidor FTP inicia una conexión al
cliente interno, y esto es lo que un NAT básico no puede abrir
dinámincamente

Si usas IE, revisa estas configuraciones (lo tengo en inglés)
- Enable FGP folder view
- Use Passive FTP
Sobre todo la última

Para pruebas de conexión lo mejor creo que es el fTP de línea de comando
FTP
OPEN w.x.y.z
...