- PR -

ISAサーバ2000 ファイアウォールクライアントに関して

1
投稿者投稿内容
会議室デビュー日: 2005/05/18
投稿数: 2
投稿日時: 2005-05-19 11:49
現在、社外のFTPサーバにISA2000(以下ISA)サーバ経由で社内クライアントからFFFTPを使用してファイルのアップロード、ダウンロード両方を可能にするのに四苦八苦しております。

ネットワークの構成:
・インターネットの出口にはISAがおり、ISAはグローバルとプライベートのアドレスを持ってます。
・ISAの先にはファイアウォールはいません。ISAをファイアウォール、プロキシとして使用しております。
・ISAがいるセグメント1とルータを介してセグメント2があります。

今回、セグメント1とセグメント2のそれぞれのクライアントからISAのプロキシを経由しないでFFFTPを使いたいので、当初SecureNATクライアントで構成しようとしたのですが、セグメント1のクライアントはデフォルトゲートウェイをセグメント1のルータ→ISAサーバに変更するだけで良く成功したのですが、セグメント2のクライアントのインターネットへの要求パケットがISAを経由するようにルータのルーティングを変更できないため(許可がおりず・・)、

そこで、ファイアウォールクライアントにすれば外へのパケットはいったんISAにリダイレクトされると書いてあったのでファイアウォールクライアントで構成しよう!と思い、クライアントソフトも入れ、ISAを指定し(社内にDNSはおらずLmhosts、Hosts運用なので自動検出できないんでアドレスを直打ち)、準備万端とテストすると、セグメント1のクライアントはできたんですが、セグメント2のクライアントはできませんでした。もちろんセグメント間の通信はできます。ISAのログを見たら、セグメント2のクライアントからのパケットは一応届いてるみたいです。

と、言葉足らずで下手な説明で恥ずかしいかぎりですが、
どなたかわかる方はおられましたら、アドバイスいただきたく。

zousan
大ベテラン
会議室デビュー日: 2004/11/09
投稿数: 129
投稿日時: 2005-05-19 23:33
たしかLATテーブルにセグメント2の追加が必要なはずです
会議室デビュー日: 2005/05/18
投稿数: 2
投稿日時: 2005-05-20 14:18
>たしかLATテーブルにセグメント2の追加が必要なはずです

LATには社内のクライアントのアドレスの範囲は指定してあります。。
kaz
ぬし
会議室デビュー日: 2003/11/06
投稿数: 5403
投稿日時: 2005-05-20 20:24
引用:

茶さんの書き込み (2005-05-19 11:49) より:

セグメント2のクライアントのインターネットへの要求パケットがISAを経由するようにルータのルーティングを変更できないため(許可がおりず・・)、

その時点で「その通信は通してしまってよいのですか?」と一応質しておきます.
普通は「許可が下りない」理由があるはずで,
それを無視するがごときやり方は「不正」と受け取られて然るべきかと.
引用:

ISAのログを見たら、セグメント2のクライアントからのパケットは一応届いてるみたいです。

それで,届いた後はどうなってますか?
firewall client にしたとして,
その ISA server ではちゃんと名前解決などはできていますか?
1

スキルアップ/キャリアアップ(JOB@IT)