.png "ISA Server")
Reguła routingu a reguła publikacji w ISA Server .png "Udostępnij na: Facebook")
Autor: Barbara Wróbel
Opublikowano: 14 sierpnia 2007
Zawartość strony
.gif){kind=icon} |
Wstęp |
|
Przykład 1 |
|
Przykład 2 |
|
Podsumowanie |
Wstęp
Zwykle reguły publikacji są regułami stosowanymi w przypadku, gdy pomiędzy sieciami ustalona została reguła NAT. Istnieją niekiedy jednak uzasadnione przypadki, gdy jest potrzeba zastosowania reguł publikacji w przypadku ustalonej pomiędzy sieciami reguły routingu np. gdy chcemy wykorzystać działanie filtrów smtp czy pop3. O sytuacjach takich pisał już między innymi Thomas Shinder na swoim blogu:
Należy jednak zauważyć, że w takiej strukturze połączeń pomiędzy sieciami reguła publikacji nie wykorzystuje jednak w pełni swoich możliwości, które mamy w przypadku, gdy pomiędzy sieciami jest NAT.
Po pierwsze, odwołanie do opublikowanego serwera następuje nie poprzez adres karty sieciowej ISA, ale poprzez rzeczywisty adres opublikowanego serwera (wyjątkiem są tu jedynie reguły publikacji WWW, które zachowują odwołania jak w przypadku NAT przez adres ISA).
Po drugie, niestety nie można wykorzystać zawartej w regule publikacji możliwości zmiany numeru portu pod którym dany program jest publikowany na zewnątrz (tym samym nie dając możliwości ukrycia rzeczywistego numeru portu). Z czym to dokładnie jest związane postaram się przedstawić na dwóch przykładach opisanych poniżej.
.gif){kind=icon}
Do początku strony
Przykład 1
Korzystając z kreatora reguł publikacji „Publish Non-Web Server Protocols” tworzymy zatem przykładową regułę publikacji w oparciu o protokół RDP. Reguła ta będzie publikować serwer z sieci Internal dla sieci Pracownicy. Zgodnie z założeniami pomiędzy obiema sieciami ustawiamy regułę routingu.
.png)
Rys. 1. Zgodnie z założeniami pomiędzy obiema sieciami ustawiamy regułę routingu.
By skonfigurować odpowiednio porty wchodzimy we właściwości reguły a następnie wybieramy zakładkę „Traffic”.
.png)
Rys. 2. We właściwości reguły wybieramy zakładkę „Traffic”.
Jak widzimy wybrany mamy standardowy protokół rdp, którym posłużymy się w publikacji i klikamy „Ports”.
.png)
Rys. 3. Standardowy protokół rdp, którym posłużymy się w publikacji - klikamy „Ports”.
W sekcji „Firewall ports” wybieramy „Publish on this port instead of the default port” i wpisujemy niestandardowy port 5678, na którym rdp miałoby być opublikowane dla klienta w sieci Pracownicy. Niestety jak już wspomniałam na początku tak utworzona deklaracja portu nie zadziała. Reguła publikacji zupełnie zignoruje wpisany tu port co nie znaczy jednak, iż reguła zupełnie nie zadziała. Zadziała - tyle, że trochę niespodziewanie bo na standardowym porcie zawartym w definicji protokołu czyli 3389. To pierwsza niespodzianka, która nas czeka. Przejdźmy teraz do drugiej.
Do początku strony
Przykład 2
W drugim przypadku przypuśćmy, że definiujemy niestandardowy protokół RDP o nazwie „niestandardowe rdp”, który w definicji ma wpisany port 5678.
.png)
Rys. 4. Definiujemy niestandardowy protokół RDP o nazwie „niestandardowe rdp”, który w definicji ma wpisany port 5678.
Dodatkowo w sekcji „Published Server Ports” wybieramy „Send requests to this port on the published server” i wpisujemy standardowy port 3389, gdyż właśnie na nim serwer wewnątrz nasłuchuje żądań od ISA.
.png)
Rys. 5. W sekcji „Published Server Ports” wybieramy „Send requests to this port on the published server” i wpisujemy standardowy port 3389
Próbujemy się odwołać do serwera znowu poprzez niestandardowy port 5678 (jak pamiętamy tym razem zawarty w definicji protokołu „niestandardowe rdp”). Próba kończy się niepowodzeniem. Czyżby zatem tym razem ignorowany był port zawarty w definicji protokołu? Dokładnie pośrednio tak się dzieje, choć jest to trochę bardziej skomplikowane. Port ten przekazywany jest niejako poprzez sekcję „Firewall Ports” na formatce „Ports” i reprezentowany tam przez zaznaczenie „Publish using the default port definied in the protocol definition”.
Cały klucz tkwi w tym, że przypadku powyższych reguł publikacji bazujących na regule routingu pomiędzy sieciami, to co znajduje się w sekcji „Firewall Ports” jest całkowicie ignorowane. Czyli po prostu cokolwiek tu wpiszemy i tak nie zadziała. Dlatego też dodatkowego znaczenia nabiera sekcja „Published Server Ports”, ponieważ w takim przypadku specyfikuje już nie tylko na jaki port ISA wysyła żądanie do serwera, ale także określa przez jaki port klient z zewnątrz odwołuje się do opublikowanego serwera.
Do początku strony
Podsumowanie
Jak widzimy nie jest to typowe, powszechnie znane zachowanie reguły publikacji. Warto jednak o nim wiedzieć, by potem nie być zaskoczonym, gdy dana reguła nie działa, a raczej działa tylko niezupełnie tak jak przewidywaliśmy.
| Barbara Wróbel |
| Do początku strony |