No banner in farm
iscriviti alla newsletter

ISAserver.it - No. 1 Unofficial European web site on Microsoft ISA Server 2006 2004 2000

Home di ISAserver.it
Google
 
Articoli
Autori di ISAserver.it
Forum Tecnico Iscriviti al feed RSS del forum di ISAserver.it
Blog di Luca Conte Iscriviti al feed RSS del blog di ISAserver.it
Software per ISA Server
Soluzioni Hardware per ISA Server
Eventi Tecnici e Formazione
Libreria di ISAserver.it
Contatti
Consigliati da ISAserver.it

No banner in farm
WORKBOOK

No banner in farm
Quale prodotto utilizzi

Quale prodotto utilizzi

VMexperts.org
Community tecnica italiana sulla Virtualizzazione
VOIPexperts.it
Community tecnica italiana sul VOIP
 
 
ISAserver.it Forum
ISAserver.it Forum
Home | Profile | Register | Active Topics | Members | Search | FAQ
Username:
Password:
Save Password
Forgot your Password?

 All Forums
 ISA Server 2004
 ISA 2004 - Installazione e Configurazione
 Client fuori dominio
 New Topic  Reply to Topic
 Printer Friendly
Author Previous Topic Topic Next Topic  

fish
Starting Member

7 Posts

Posted - 06/09/2012 :  00:31:00  Show Profile  Reply with Quote
Ciao, ho una rete SBS 2k3, dove i clienti sono collegati col il firewall client, il problema e' che le macchine che pero' sono volutamente fuori dominio hanno attraverso il firewall client accesso al web ma non riescono a spedire la posta o altro.
Ho provato a fare un telnet su 25 e 110 ma risulta tutto bloccato..

Cosa posso fare/

lconte
Amministratore del Forum

2017 Posts

Posted - 06/09/2012 :  11:58:22  Show Profile  Reply with Quote
Ciao fish,
il tuo SBS autentica utenti di dominio, quindi nel caso in cui tu abbia macchine/utenti fuori dominio la soluzione piu' semplice è quella di creare una regola basata sugli indirizzi IP dei client. Avere il Firewall Client per macchine/utenti fuori dominio non ti è di molto aiuto per traffico non-http.


Luca Conte, MCSE/MCSA:Security, MCT, VMWare VCP
Consulting Services & Professional Training
----
IMPORTANTE:
Iscriviti oggi stesso a:
ISA/TMG Server Jumpstart 2012 - 27/28 Novembre - Milano
Consulta http://www.isaserverjumpstart.com ed anche il blog di ISAServer.it - http://news.isaserver.it
----
Contatti: lconte<at>isaserver<d0t>it
====
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo è consentito solo accettando le presenti condizioni. Prima di scrivere sul forum leggi come come scrivere un buon post
Go to Top of Page

fish
Starting Member

7 Posts

Posted - 11/09/2012 :  21:45:04  Show Profile  Reply with Quote
Grazie! domani provo.. ma puo' essere che in uscisa funziona e in ingresso no? e poi non tutto (alcuni indirizzi si altri no, nonostante le porte sono le stesse).
Ora il telnet funziona in uscita e ingresso ma la posta continua a essere bloccata.

Grazie e scusa il ritardo ma ho avuto un lutto in famiglia e non ho lavorato per qualche giorno
Go to Top of Page

fish
Starting Member

7 Posts

Posted - 12/09/2012 :  12:03:37  Show Profile  Reply with Quote
Sono riuscito a collegarmi da remoto per provare la configurazione
molto stupidamente e grossolanamente ho visto se così le cose cambiavano per poi nel caso fare una cosa più pulita
Quello che realmente server smtp, smtps, pop3,pop3s ma per ora ho messo di tutto un pò ..



Quello che mi sono accorto è che anche un computer in dominio non scarica una casella di posta certificata esterna.. anzi la scarica ma non la invia.. eppure avevo fatto per tutti i protocolli di posta una regola in uscita e una in entrata per tutti gli utenti e le relative reti.. cosa sbaglio?

ps: scusate l'ignoranza :) ma sono un programmatore :D

Edited by - fish on 12/09/2012 13:18:26
Go to Top of Page

lconte
Amministratore del Forum

2017 Posts

Posted - 12/09/2012 :  21:54:18  Show Profile  Reply with Quote
Ciao Fish, hai fatto bene a pubblicare uno screenshot della tua regola, ed a prima vista, purtroppo, credo che nella regola ci sia qualche problema di fondo.
Giusto un paio di informazioni, il tuo server quante schede di rete monta? E' collocato sulla frontiera oppure è interno?



Luca Conte, MCSE/MCSA:Security, MCT, VMWare VCP
Consulting Services & Professional Training
----
IMPORTANTE:
Iscriviti oggi stesso a:
ISA/TMG Server Jumpstart 2012 - 27/28 Novembre - Milano
Consulta http://www.isaserverjumpstart.com ed anche il blog di ISAServer.it - http://news.isaserver.it
----
Contatti: lconte<at>isaserver<d0t>it
====
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo è consentito solo accettando le presenti condizioni. Prima di scrivere sul forum leggi come come scrivere un buon post
Go to Top of Page

fish
Starting Member

7 Posts

Posted - 13/09/2012 :  00:09:29  Show Profile  Reply with Quote
Allora, il server è virtuale su esxi, ha una scheda interna e una esterna , l'esterna ha un ip pubblico,
nella regola ho provato a mappare entrambe le direzioni, di solito metto la subnet interna -> esterno e un'altra viceversa,
Ho provato a fare così per "aprire il più possibile" poi di volta in volta taglio e verifico il funzionamento di tutto ..
Come posso verificare da cosa dipende il fatto che la posta sia bloccata ?
ho provato a scaricare Wireshark e a spippolare un pò con nmap ma non sono stato capace di capire dove si blocca :P
Go to Top of Page

lconte
Amministratore del Forum

2017 Posts

Posted - 13/09/2012 :  21:32:58  Show Profile  Reply with Quote
Partendo dal presupposto che tutto il resto sia OK nella configurazione di ISA la regola che consente TUTTO il traffico uscente (quindi originato dalla tua rete interna) è:

Name: Consenti tutto a tutti
Protocol: All Outbound Protocols
From: All Protected Networks
To: External
Users: All Users

questa regola collocala in testa alla tua Firewall Policy, salva la configurazione, e fai il reset delle sessioni degli utenti.
Questa regola consente a "tutti" i tuoi computer interni (con un IP incluso nelle subnet definite su ISA) di uscire senza autenticazione su Internet.

Se vuoi far uscire solo alcuni computer, allora sostituisci SOLO "All protected Networks" con gli oggetti computer che devono uscire, salva la configurazione e fai il reset delle sessioni.

Questa è la regola con cui in genere si parte per la configurazione di ISA/TMG, dopodiché cominci a stringere le maglie.

Luca


Luca Conte, MCSE/MCSA:Security, MCT, VMWare VCP
Consulting Services & Professional Training
----
IMPORTANTE:
Iscriviti oggi stesso a:
ISA/TMG Server Jumpstart 2012 - 27/28 Novembre - Milano
Consulta http://www.isaserverjumpstart.com ed anche il blog di ISAServer.it - http://news.isaserver.it
----
Contatti: lconte<at>isaserver<d0t>it
====
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo è consentito solo accettando le presenti condizioni. Prima di scrivere sul forum leggi come come scrivere un buon post
Go to Top of Page

fish
Starting Member

7 Posts

Posted - 14/09/2012 :  11:50:50  Show Profile  Reply with Quote
ciao ho fatto la prova che mi dicevi,
ora succede una cosa strana, i computer in dominio ora ricevono la posta certificata
mentre i pc fuori dominio ancora non riescono a ricevere la posta esterna
Ho il guest disabilitato.. può essere quello un problema?
la regola applicata permette tutto verso determinati pc in "IN" e in "OUT" (2 relative regole) per "All User"
Altra cosa che non sò se influisce, escono tutti in rete con lo stesso utente amministrativo
Go to Top of Page

lconte
Amministratore del Forum

2017 Posts

Posted - 14/09/2012 :  14:20:34  Show Profile  Reply with Quote
Forse i tuoi pc fuori dominio ricevono un IP di una subnet non presente nella rete Internals definita su ISA.
Scusa ma il resto non mi è chiaro, quando parli di IN/OUT, guest ecc.
Luca

Luca Conte, MCSE/MCSA:Security, MCT, VMWare VCP
Consulting Services & Professional Training
----
IMPORTANTE:
Iscriviti oggi stesso a:
ISA/TMG Server Jumpstart 2012 - 27/28 Novembre - Milano
Consulta http://www.isaserverjumpstart.com ed anche il blog di ISAServer.it - http://news.isaserver.it
----
Contatti: lconte<at>isaserver<d0t>it
====
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo è consentito solo accettando le presenti condizioni. Prima di scrivere sul forum leggi come come scrivere un buon post
Go to Top of Page

fish
Starting Member

7 Posts

Posted - 14/09/2012 :  14:47:39  Show Profile  Reply with Quote
Gli ip lo ho assegnati a mano,
praticamente erano 2 aziende negli stessi uffici,entrambe dello stesso titolare, una ha chiuso quindi hanno staccato ADSL dedicata ecc.. visto che i cavi vanno nello stesso armadio,li ho collegati allo stesso swich e gli ho assegnato 4 ip e messo il firewall client, così possono usarli comunque.

Quando parlo di IN e OUT intendo :
IN da Esterna a pc interni
OUT da interna a rete esterna

Per il guest parlo del domain controller, dove è stato disabilitato l'utente di default guest, non vorrei che ISA cerca di autenticare queste richieste come guest!? (probabilmente dico una cazzatissima)
Go to Top of Page

lconte
Amministratore del Forum

2017 Posts

Posted - 16/09/2012 :  12:46:47  Show Profile  Reply with Quote
La gestione del traffico di IN (Da Internet > LAN) avviene solo tramite la pubblicazione di applicazioni Server (es. Server Web, Server di Posta ecc.) e non verso client. Per questo tipo di traffico di utilizza il Wizard di pubblicazione dei Servizi di ISA.
Le gestione del traffico di OUT (Da LAN > Internet ) avviene tramite le regole (access rules) nella Firewall Policy.

In una stessa regola non hai mai traffico IN e OUT. Ma devi avere una regola di OUT ed una regola di IN, non insieme. Con le regole di IN sempre in testa alla tua Firewall Policy.

Per capire perché alcuni client sono bloccati avvia il logging su ISA con un filtro sul traffico proveniente da un IP che non passa e vedi cosa ti dice.

Tieni conto che ISA blocca tutto quello che non viene esplicitamente permesso.


Luca Conte, MCSE/MCSA:Security, MCT, VMWare VCP
Consulting Services & Professional Training
----
IMPORTANTE:
Iscriviti oggi stesso a:
ISA/TMG Server Jumpstart 2012 - 27/28 Novembre - Milano
Consulta http://www.isaserverjumpstart.com ed anche il blog di ISAServer.it - http://news.isaserver.it
----
Contatti: lconte<at>isaserver<d0t>it
====
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo è consentito solo accettando le presenti condizioni. Prima di scrivere sul forum leggi come come scrivere un buon post
Go to Top of Page
  Previous Topic Topic Next Topic  
 New Topic  Reply to Topic
 Printer Friendly
Jump To:
ISAserver.it Forum © 2004-2014 Luca Conte - Tutti i diritti riservati Go To Top Of Page
Powered By: Snitz Forums 2000 Version 3.4.06


No banner in farm

ISAServer.it sostiene la campagna per la riduzione del riscaldamento globale e un uso più efficiente dell'energia da parte delle infrastrutture tecnologiche


ISAserver.it è parte del network GITCA - Global IT Community Association