isa 2004 "enganchado" a otro proxy

22/11/2004 - 10:24 por Coupex | Informe spam
Saludos:

Queremos montar una subred dentro de una LAN. En la LAN principal hay
otro ISA (2000) a cuyo proxy HTTP y FTP hay que conectarse para salir a
Internet. Nuestra intención es montar una subred dentro de la LAN (para
hacer pruebas sin influir en la red principal) con un Windows 2000 Server e
Isa Server 2004 a modo de router. La única duda importante que nos queda es
la siguiente, para que los equipos que estén dentro de la subred salgan a
Internet tenemos que hacer que el ISA 2004 enrute las conexiones al otro
proxy, y a su vez el propio servidor Isa 2004 tiene que poder conectarse a
Internet (también se va a utilizar como escritorio, no me chilléis, es por
necesidad). Hasta ahora lo teníamos montado con un 2000 server con un
Microsoft Proxy 2.0, pero ha empezado a fallar e incluso reinstalándolo
sigue dando problemas. ¿Qué tenemos que hacer en el ISA 2004 para poder
reconducir el tráfico al otro proxy? Otra preguntilla, hemos hecho algunas
pruebas con ISA 2004 con algún problemilla si tratamos de acceder desde el
propio servidor por cualquier protocolo. Es decir, aplicamos una regla,
funciona para los equipos que están dentro de la subred, pero no para el
servidor. ¿Tiene solución?

Gracias de antemano.
Un saludo.

Preguntas similare

Leer las respuestas

#1 Ivan [MS MVP]
22/11/2004 - 10:40 | Informe spam
"Coupex" escribió en el mensaje
news:%
Saludos:

Queremos montar una subred dentro de una LAN. En la LAN principal hay
otro ISA (2000) a cuyo proxy HTTP y FTP hay que conectarse para salir a
Internet. Nuestra intención es montar una subred dentro de la LAN (para
hacer pruebas sin influir en la red principal) con un Windows 2000 Server
e
Isa Server 2004 a modo de router. La única duda importante que nos queda
es
la siguiente, para que los equipos que estén dentro de la subred salgan a
Internet tenemos que hacer que el ISA 2004 enrute las conexiones al otro
proxy,



Crea una web chaining rule en la que enrutas todas las peticiones al otro
ISA. Lo tienes en : configuration, networks, web chaining.

y a su vez el propio servidor Isa 2004 tiene que poder conectarse a
Internet (también se va a utilizar como escritorio, no me chilléis, es por
necesidad).



Aqui nadie chilla... simplemente que esto que quieres hacer, lo siento pero
me parece una... no se ni como calificarlo... un tio sentado en la consola
del server usando el office y navegando por internet ? no me creo que sea
por necesidad, antes le doy papel, boligrafo y una calculadora y que haga lo
que pueda.
Como digamos lo que digamos, al final la decision es tuya:
http://www.isaserver.org/articles/2...ewall.html

Hasta ahora lo teníamos montado con un 2000 server con un
Microsoft Proxy 2.0, pero ha empezado a fallar e incluso reinstalándolo
sigue dando problemas. ¿Qué tenemos que hacer en el ISA 2004 para poder
reconducir el tráfico al otro proxy? Otra preguntilla, hemos hecho algunas
pruebas con ISA 2004 con algún problemilla si tratamos de acceder desde el
propio servidor por cualquier protocolo. Es decir, aplicamos una regla,
funciona para los equipos que están dentro de la subred, pero no para el
servidor. ¿Tiene solución?



Debes crear reglas de acceso que permitan la comunicacion a los protocolos
necesarios desde local host a la red u objetos de red necesarios: interna,
externa, etc

Un saludo.
Ivan
MS MVP ISA Server
Respuesta Responder a este mensaje
#2 Coupex
22/11/2004 - 10:53 | Informe spam
Saludos:

Muchas gracias por tu ayuda, probaremos lo que comentas. En cuanto a las
reglas de localhost, lo que hemos probado no ha funcionado, de todas formas
esperaremos más tiempo por si es un problema de refresco. En lo que respecta
al tema de uso de escritorio del servidor, el único problema es que actúa
también como servidor de imágenes y es la máquina más potente que tenemos.
Lo cierto es que es una red en la que hay sólo 10 equipos y sería una pena
desaprovechar el servidor sólo para enrutar http y poco más.

Un saludo.
"Ivan [MS MVP]" escribió en el mensaje
news:
"Coupex" escribió en el mensaje
news:%
> Saludos:
>
> Queremos montar una subred dentro de una LAN. En la LAN principal hay
> otro ISA (2000) a cuyo proxy HTTP y FTP hay que conectarse para salir a
> Internet. Nuestra intención es montar una subred dentro de la LAN (para
> hacer pruebas sin influir en la red principal) con un Windows 2000


Server
> e
> Isa Server 2004 a modo de router. La única duda importante que nos queda
> es
> la siguiente, para que los equipos que estén dentro de la subred salgan


a
> Internet tenemos que hacer que el ISA 2004 enrute las conexiones al otro
> proxy,

Crea una web chaining rule en la que enrutas todas las peticiones al otro
ISA. Lo tienes en : configuration, networks, web chaining.

y a su vez el propio servidor Isa 2004 tiene que poder conectarse a
> Internet (también se va a utilizar como escritorio, no me chilléis, es


por
> necesidad).

Aqui nadie chilla... simplemente que esto que quieres hacer, lo siento


pero
me parece una... no se ni como calificarlo... un tio sentado en la consola
del server usando el office y navegando por internet ? no me creo que sea
por necesidad, antes le doy papel, boligrafo y una calculadora y que haga


lo
que pueda.
Como digamos lo que digamos, al final la decision es tuya:
http://www.isaserver.org/articles/2...ewall.html

> Hasta ahora lo teníamos montado con un 2000 server con un
> Microsoft Proxy 2.0, pero ha empezado a fallar e incluso reinstalándolo
> sigue dando problemas. ¿Qué tenemos que hacer en el ISA 2004 para poder
> reconducir el tráfico al otro proxy? Otra preguntilla, hemos hecho


algunas
> pruebas con ISA 2004 con algún problemilla si tratamos de acceder desde


el
> propio servidor por cualquier protocolo. Es decir, aplicamos una regla,
> funciona para los equipos que están dentro de la subred, pero no para el
> servidor. ¿Tiene solución?

Debes crear reglas de acceso que permitan la comunicacion a los protocolos
necesarios desde local host a la red u objetos de red necesarios: interna,
externa, etc

Un saludo.
Ivan
MS MVP ISA Server




Respuesta Responder a este mensaje
#3 Ivan [MS MVP]
22/11/2004 - 11:06 | Informe spam
No, no es un problema de refresco, ISA aplica los cambios de forma
inmediata. Dime que aplicacion quieres usar en el ISA y hacia donde, red
interna, o internet. Si sabes que protocolos utiliza la aplicacion mejor que
mejor. Otra cosa, cuantos adaptadores de red tiene el ISA ?
Si, son 10, pocos clientes, pero un servidor es un servidor, lo mires como
lo mires si un dia deja de funcionar el servidor, son 10 clientes de
brazos cruzados en lugar de uno solo. Un PC hoy en dia no es un gasto
desorbitado para ninguna empresa, hablamos de uno, no de 25 0 30.

Un saludo.
Ivan
MS MVP ISA Server


"Coupex" escribió en el mensaje
news:O7t%
Saludos:

Muchas gracias por tu ayuda, probaremos lo que comentas. En cuanto a
las
reglas de localhost, lo que hemos probado no ha funcionado, de todas
formas
esperaremos más tiempo por si es un problema de refresco. En lo que
respecta
al tema de uso de escritorio del servidor, el único problema es que actúa
también como servidor de imágenes y es la máquina más potente que tenemos.
Lo cierto es que es una red en la que hay sólo 10 equipos y sería una pena
desaprovechar el servidor sólo para enrutar http y poco más.

Un saludo.
"Ivan [MS MVP]" escribió en el mensaje
news:
"Coupex" escribió en el mensaje
news:%
> Saludos:
>
> Queremos montar una subred dentro de una LAN. En la LAN principal
> hay
> otro ISA (2000) a cuyo proxy HTTP y FTP hay que conectarse para salir a
> Internet. Nuestra intención es montar una subred dentro de la LAN (para
> hacer pruebas sin influir en la red principal) con un Windows 2000


Server
> e
> Isa Server 2004 a modo de router. La única duda importante que nos
> queda
> es
> la siguiente, para que los equipos que estén dentro de la subred salgan


a
> Internet tenemos que hacer que el ISA 2004 enrute las conexiones al
> otro
> proxy,

Crea una web chaining rule en la que enrutas todas las peticiones al otro
ISA. Lo tienes en : configuration, networks, web chaining.

y a su vez el propio servidor Isa 2004 tiene que poder conectarse a
> Internet (también se va a utilizar como escritorio, no me chilléis, es


por
> necesidad).

Aqui nadie chilla... simplemente que esto que quieres hacer, lo siento


pero
me parece una... no se ni como calificarlo... un tio sentado en la
consola
del server usando el office y navegando por internet ? no me creo que sea
por necesidad, antes le doy papel, boligrafo y una calculadora y que haga


lo
que pueda.
Como digamos lo que digamos, al final la decision es tuya:
http://www.isaserver.org/articles/2...ewall.html

> Hasta ahora lo teníamos montado con un 2000 server con un
> Microsoft Proxy 2.0, pero ha empezado a fallar e incluso reinstalándolo
> sigue dando problemas. ¿Qué tenemos que hacer en el ISA 2004 para poder
> reconducir el tráfico al otro proxy? Otra preguntilla, hemos hecho


algunas
> pruebas con ISA 2004 con algún problemilla si tratamos de acceder desde


el
> propio servidor por cualquier protocolo. Es decir, aplicamos una regla,
> funciona para los equipos que están dentro de la subred, pero no para
> el
> servidor. ¿Tiene solución?

Debes crear reglas de acceso que permitan la comunicacion a los
protocolos
necesarios desde local host a la red u objetos de red necesarios:
interna,
externa, etc

Un saludo.
Ivan
MS MVP ISA Server









Respuesta Responder a este mensaje
#4 Coupex
22/11/2004 - 11:54 | Informe spam
Hola Ivan:

Nuestra idea es la siguiente. De dentro hacia dentro, y de localhost
hacia dentro y viceversa permitir todo, absolutamente todo. De localhost
hacia afuera permitir HTTP y FTP (a través del otro servidor proxy tal y
como te he comentado). De fuera a localhost, permitir NETBIOS. Y luego nos
quedaría por enrutar SSH (22) de fuera hacia dos máquinas de dentro
(¿podemos hacer NAT a dos máquinas distintas con el mismo puerto?), alguno
más de forma ocasional (SMTP (servidor)). Por otro lado queremos capar SMTP
del todo (que ni siquiera se pueda hacer una petición a través de SMTP) y
HTTP que no sea por proxy (supongo que para estas dos basta con dejar la
configuración por defecto, pero es fundamental que no salga nada por SMTP).

El servidor tiene dos interfaces de red, una interna y otra externa
(suponía además que ISA Server requería de dos interfaces). En cuanto al
otro tema, tienes toda la razón, me he explicado mal , no es un tema de
gastos, es que no podemos tener otro servidor, y para determinadas cosas
necesitamos utilizar una máquina de ese tipo.

Un saludo.


"Ivan [MS MVP]" escribió en el mensaje
news:
No, no es un problema de refresco, ISA aplica los cambios de forma
inmediata. Dime que aplicacion quieres usar en el ISA y hacia donde, red
interna, o internet. Si sabes que protocolos utiliza la aplicacion mejor


que
mejor. Otra cosa, cuantos adaptadores de red tiene el ISA ?
Si, son 10, pocos clientes, pero un servidor es un servidor, lo mires como
lo mires si un dia deja de funcionar el servidor, son 10 clientes de
brazos cruzados en lugar de uno solo. Un PC hoy en dia no es un gasto
desorbitado para ninguna empresa, hablamos de uno, no de 25 0 30.

Un saludo.
Ivan
MS MVP ISA Server


"Coupex" escribió en el mensaje
news:O7t%
> Saludos:
>
> Muchas gracias por tu ayuda, probaremos lo que comentas. En cuanto a
> las
> reglas de localhost, lo que hemos probado no ha funcionado, de todas
> formas
> esperaremos más tiempo por si es un problema de refresco. En lo que
> respecta
> al tema de uso de escritorio del servidor, el único problema es que


actúa
> también como servidor de imágenes y es la máquina más potente que


tenemos.
> Lo cierto es que es una red en la que hay sólo 10 equipos y sería una


pena
> desaprovechar el servidor sólo para enrutar http y poco más.
>
> Un saludo.
> "Ivan [MS MVP]" escribió en el mensaje
> news:
>> "Coupex" escribió en el mensaje
>> news:%
>> > Saludos:
>> >
>> > Queremos montar una subred dentro de una LAN. En la LAN principal
>> > hay
>> > otro ISA (2000) a cuyo proxy HTTP y FTP hay que conectarse para salir


a
>> > Internet. Nuestra intención es montar una subred dentro de la LAN


(para
>> > hacer pruebas sin influir en la red principal) con un Windows 2000
> Server
>> > e
>> > Isa Server 2004 a modo de router. La única duda importante que nos
>> > queda
>> > es
>> > la siguiente, para que los equipos que estén dentro de la subred


salgan
> a
>> > Internet tenemos que hacer que el ISA 2004 enrute las conexiones al
>> > otro
>> > proxy,
>>
>> Crea una web chaining rule en la que enrutas todas las peticiones al


otro
>> ISA. Lo tienes en : configuration, networks, web chaining.
>>
>> y a su vez el propio servidor Isa 2004 tiene que poder conectarse a
>> > Internet (también se va a utilizar como escritorio, no me chilléis,


es
> por
>> > necesidad).
>>
>> Aqui nadie chilla... simplemente que esto que quieres hacer, lo siento
> pero
>> me parece una... no se ni como calificarlo... un tio sentado en la
>> consola
>> del server usando el office y navegando por internet ? no me creo que


sea
>> por necesidad, antes le doy papel, boligrafo y una calculadora y que


haga
> lo
>> que pueda.
>> Como digamos lo que digamos, al final la decision es tuya:
>> http://www.isaserver.org/articles/2...ewall.html
>>
>> > Hasta ahora lo teníamos montado con un 2000 server con un
>> > Microsoft Proxy 2.0, pero ha empezado a fallar e incluso


reinstalándolo
>> > sigue dando problemas. ¿Qué tenemos que hacer en el ISA 2004 para


poder
>> > reconducir el tráfico al otro proxy? Otra preguntilla, hemos hecho
> algunas
>> > pruebas con ISA 2004 con algún problemilla si tratamos de acceder


desde
> el
>> > propio servidor por cualquier protocolo. Es decir, aplicamos una


regla,
>> > funciona para los equipos que están dentro de la subred, pero no para
>> > el
>> > servidor. ¿Tiene solución?
>>
>> Debes crear reglas de acceso que permitan la comunicacion a los
>> protocolos
>> necesarios desde local host a la red u objetos de red necesarios:
>> interna,
>> externa, etc
>>
>> Un saludo.
>> Ivan
>> MS MVP ISA Server
>>
>>
>>
>>
>
>
>



Respuesta Responder a este mensaje
#5 Ivan [MS MVP]
22/11/2004 - 12:31 | Informe spam
"Coupex" escribió en el mensaje
news:
Hola Ivan:

Nuestra idea es la siguiente. De dentro hacia dentro, y de localhost
hacia dentro y viceversa permitir todo, absolutamente todo. De localhost
hacia afuera permitir HTTP y FTP (a través del otro servidor proxy tal y
como te he comentado).



Entiendo que lo que necesitas es permitir todo desde la red interna a
localhost y desde localhost a la red interna
Crea una regla de acceso que pemrite todo el trafico saliente desde
localhost y red interna hacia localhost y red interna a todos los usuarios.


De fuera a localhost, permitir NETBIOS.



Desde internet a localhost NetBIOS ? para que ? creo que no has explicado
bien tu implementacion.

Y luego nos
quedaría por enrutar SSH (22) de fuera hacia dos máquinas de dentro
(¿podemos hacer NAT a dos máquinas distintas con el mismo puerto?),



Utilizas reglas de publicacion de servidor y listo. SI solo dispones de una
IP publica (IP externa) no puedes publicar dos servicios en el mismo puerto,
o utilizas 2 IPs o cambias el puerto de uno de ellos.

alguno
más de forma ocasional (SMTP (servidor)). Por otro lado queremos capar
SMTP
del todo (que ni siquiera se pueda hacer una petición a través de SMTP) y
HTTP que no sea por proxy (supongo que para estas dos basta con dejar la
configuración por defecto, pero es fundamental que no salga nada por
SMTP).



Tu controlas mediante reglas de acceso lo que pueden y no pueden usar los
clientes internos. Por defecto ISA no permite nada. Para el usuario que
trabaja en local, lo mismo... la directiva por defecto del firewall permite
SMTP pero solo hacia la red interna. Cualquier otro protocolo hay que
pemritido en la direccion adecuada.

Un saludo.
Ivan
MS MVP ISA Server






"Ivan [MS MVP]" escribió en el mensaje
news:
No, no es un problema de refresco, ISA aplica los cambios de forma
inmediata. Dime que aplicacion quieres usar en el ISA y hacia donde, red
interna, o internet. Si sabes que protocolos utiliza la aplicacion mejor


que
mejor. Otra cosa, cuantos adaptadores de red tiene el ISA ?
Si, son 10, pocos clientes, pero un servidor es un servidor, lo mires
como
lo mires si un dia deja de funcionar el servidor, son 10 clientes de
brazos cruzados en lugar de uno solo. Un PC hoy en dia no es un gasto
desorbitado para ninguna empresa, hablamos de uno, no de 25 0 30.

Un saludo.
Ivan
MS MVP ISA Server


"Coupex" escribió en el mensaje
news:O7t%
> Saludos:
>
> Muchas gracias por tu ayuda, probaremos lo que comentas. En cuanto a
> las
> reglas de localhost, lo que hemos probado no ha funcionado, de todas
> formas
> esperaremos más tiempo por si es un problema de refresco. En lo que
> respecta
> al tema de uso de escritorio del servidor, el único problema es que


actúa
> también como servidor de imágenes y es la máquina más potente que


tenemos.
> Lo cierto es que es una red en la que hay sólo 10 equipos y sería una


pena
> desaprovechar el servidor sólo para enrutar http y poco más.
>
> Un saludo.
> "Ivan [MS MVP]" escribió en el mensaje
> news:
>> "Coupex" escribió en el mensaje
>> news:%
>> > Saludos:
>> >
>> > Queremos montar una subred dentro de una LAN. En la LAN principal
>> > hay
>> > otro ISA (2000) a cuyo proxy HTTP y FTP hay que conectarse para
>> > salir


a
>> > Internet. Nuestra intención es montar una subred dentro de la LAN


(para
>> > hacer pruebas sin influir en la red principal) con un Windows 2000
> Server
>> > e
>> > Isa Server 2004 a modo de router. La única duda importante que nos
>> > queda
>> > es
>> > la siguiente, para que los equipos que estén dentro de la subred


salgan
> a
>> > Internet tenemos que hacer que el ISA 2004 enrute las conexiones al
>> > otro
>> > proxy,
>>
>> Crea una web chaining rule en la que enrutas todas las peticiones al


otro
>> ISA. Lo tienes en : configuration, networks, web chaining.
>>
>> y a su vez el propio servidor Isa 2004 tiene que poder conectarse a
>> > Internet (también se va a utilizar como escritorio, no me chilléis,


es
> por
>> > necesidad).
>>
>> Aqui nadie chilla... simplemente que esto que quieres hacer, lo siento
> pero
>> me parece una... no se ni como calificarlo... un tio sentado en la
>> consola
>> del server usando el office y navegando por internet ? no me creo que


sea
>> por necesidad, antes le doy papel, boligrafo y una calculadora y que


haga
> lo
>> que pueda.
>> Como digamos lo que digamos, al final la decision es tuya:
>> http://www.isaserver.org/articles/2...ewall.html
>>
>> > Hasta ahora lo teníamos montado con un 2000 server con un
>> > Microsoft Proxy 2.0, pero ha empezado a fallar e incluso


reinstalándolo
>> > sigue dando problemas. ¿Qué tenemos que hacer en el ISA 2004 para


poder
>> > reconducir el tráfico al otro proxy? Otra preguntilla, hemos hecho
> algunas
>> > pruebas con ISA 2004 con algún problemilla si tratamos de acceder


desde
> el
>> > propio servidor por cualquier protocolo. Es decir, aplicamos una


regla,
>> > funciona para los equipos que están dentro de la subred, pero no
>> > para
>> > el
>> > servidor. ¿Tiene solución?
>>
>> Debes crear reglas de acceso que permitan la comunicacion a los
>> protocolos
>> necesarios desde local host a la red u objetos de red necesarios:
>> interna,
>> externa, etc
>>
>> Un saludo.
>> Ivan
>> MS MVP ISA Server
>>
>>
>>
>>
>
>
>








Respuesta Responder a este mensaje
Ads by Google
Help Hacer una preguntaSiguiente Respuesta Tengo una respuesta
Search Busqueda sugerida