Netgear FSV Paketfilter ISA 2006 als Backend

10/11/2008 - 16:03 von Oliver Röttger | Report spam
Hallo,

ich möchte unseren ISA gerne durch einen zusàtzlichen Router, welcher als
Portfilter agieren soll, schützen.
Der Router ist ein Netgear FVS338. Mir ist nun nicht ganz klar, wie ich
unsere Public IPs an das interne Netzwerk
weiter NATen kann. Geht das überhaupt oder muss am Router eine statische
Route erstellt werden?

Der Router hat die Adresse

extern: 213.XXX.XXX.XXX
Intern: 172.16.0.1

Der Isa die 172.16.0.10 auf dem externen Adapter
die 192.168.0.254 auf dem internen Adapter.

Beispiel: Es kommt eine Anfrage auf der 213.X.X.100 Port 25 rein. Der Router
erkennt diese wunderbar und gibt die Anfrage an
den ISA auf die 172.16.0.10 Port 25 durch. Hier ist dann aber Ende im
Gelànde, da die eigentliche öffentliche Anfrage IP beim NATen
anscheinend verschwindet. Der ISA sieht nur noch die 192.168.0.6 (anderes
Subnetz des Netgear-Routers) und blockt die Anfrage.
Auf den internen DMZ Server 10.0.0.X kommt nüschts mehr durch.

Die interne Regelüberprüfung sagt, die Regel sei ok. Hat jemand eine
àhnliche Konstellation am laufen? Brauche ich vielleicht einen anderen
Router? SNAT oder DNAT?

Gruß
Oliver
 

Lesen sie die antworten

#1 Jens Baier
10/11/2008 - 16:19 | Warnen spam
Hi,

Der Router ist ein Netgear FVS338. Mir ist nun nicht ganz klar, wie ich
unsere Public IPs an das interne Netzwerk
weiter NATen kann. Geht das überhaupt oder muss am Router eine statische
Route erstellt werden?



Nein, der Router nimmt die Anfrage an der oeffentlichen IP entgegen und
leitet die Anfrage an das externe Interface von ISA weiter, wo ein Lisatener
(IP und Port) ist, der die Anfrage annimmt und per
Server/Webserververoeffentlichung weiterleitet

extern: 213.XXX.XXX.XXX
Intern: 172.16.0.1



OK

Der Isa die 172.16.0.10 auf dem externen Adapter
die 192.168.0.254 auf dem internen Adapter.



OK

Beispiel: Es kommt eine Anfrage auf der 213.X.X.100 Port 25 rein. Der
Router erkennt diese wunderbar und gibt die Anfrage an
den ISA auf die 172.16.0.10 Port 25 durch. Hier ist dann aber Ende im
Gelànde, da die eigentliche öffentliche Anfrage IP beim NATen
anscheinend verschwindet. Der ISA sieht nur noch die 192.168.0.6 (anderes
Subnetz des Netgear-Routers) und blockt die Anfrage.



Noe

Auf den internen DMZ Server 10.0.0.X kommt nüschts mehr durch.



wo kommt der her? Was ist der DMZ Server? Intern ist doch 17216.0.1 ode
rhast Du noch eine DMZ?

Die interne Regelüberprüfung sagt, die Regel sei ok. Hat jemand eine
àhnliche Konstellation am laufen? Brauche ich vielleicht einen anderen
Router? SNAT oder DNS



natuerlich in sehr vielen Szenarien im Einsatz

Gruss Jens
www.it-training-grote.de/blog
www.it-training-grote.de
www.nt-faq.de

Ähnliche fragen