Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  | Правила  

Компьютерный форум OSzone.net » Серверные продукты Microsoft » ISA Server / Microsoft Forefront TMG » Подмена IP в ISA

Ответить
Настройки темы
Подмена IP в ISA

Аватара для Butunin Klim

Ветеран


Сообщения: 1482
Благодарности: 117

Профиль | Отправить PM | Цитировать


задача странная но надо как-то решить.
Во вне есть VPN клиенты которые подключаються к ISA 2006 и используют в качестве шлюза ИСУ
На клиенте есть программа которая работает по 3 протоколам 80 443 8025 (TCP)
Внутри есть сервер-сервис на котором запущено приложения для работы с 8025 портом.

По сути решеатся данная задача методом публикации порта и проброса на 8025 внутри организции. Но тут есть один ньюанс.
1. В программе нельзя изменить имя сервера подключения. (То есть программа ломится на ip в WAN)
2. В ISA нет прослушивателя (или есть вот это меня и интересует) TCP порта и после заворачиаения его не на WAN IP а на сервер который я скажу.
3. 80 443 порт нужен для веб морды который находится в WAN IP
Если на пальцах то мне надо использовать как бы подмену IP с помощью ISA

-------
Сообщение помогло? В знак благодарности НАЖМИТЕ ПОЛЕЗНОЕ СООБЩЕНИЕ

Мы зрим не то, что есть вокруг,
А то, что можем видеть зримо.
А то, что зреть не достижимо
Нам не узреть во век веков.

Мой веб-магазин товары Amway http://butunina.ru


Отправлено: 10:59, 09-07-2012

 

Аватара для cameron

Ветеран


Contributor


Сообщения: 4677
Благодарности: 1090

Профиль | Отправить PM | Цитировать


Цитата Butunin Klim:
По сути решеатся данная задача методом публикации порта и проброса на 8025 внутри организции. Но тут есть один ньюанс.
1. В программе нельзя изменить имя сервера подключения. (То есть программа ломится на ip в WAN)
2. В ISA нет прослушивателя (или есть вот это меня и интересует) TCP порта и после заворачиаения его не на WAN IP а на сервер который я скажу.
3. 80 443 порт нужен для веб морды который находится в WAN IP
Если на пальцах то мне надо использовать как бы подмену IP с помощью ISA »
попробуйте изъясниться более понятным языком, я ничего не поняла из этого потока.

off
Цитата Butunin Klim:
1. В программе нельзя изменить имя сервера подключения. »
найдите программеров и стучите им в мозг отбойным молотком, предварительно сломав руки до плеч.

минимально допустимое отсутстиве мозга - DNS Имя, а не IP.

-------
в личке я не консультирую и не отвечаю на профессиональные вопросы. для этого есть форум.


Отправлено: 11:19, 09-07-2012 | #2



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.


Аватара для Butunin Klim

Ветеран


Сообщения: 1482
Благодарности: 117

Профиль | Отправить PM | Цитировать


Спасибо за ответ.

Давай -те более детально.
У Вас есть программа которая работает с IP адресом, в интернете по TCP порту 8025
Клиенты располагаются в ВПН сети и на них установлен софт (клиент)

Мы запускаем клиент который обращается к IP который находится в интернете.
Соответственно все потоки идут через ISA , она их маршрутизирует. (так как ISA является маршрутизатором (прокси сервером) для VPN клиентов)

Задача:
1. Перехватить работу порта 8025
2. Пробросить его во внутренний сервер

По поводу програмистов, согласен. Но это решение которое займет много времени , если иса этого мне может конечно будет долбить программеров, или использовать HOST фаил для обхода данной проблемы , но хочется решить это быстро с помощью такого гиганта как ИСА.

-------
Сообщение помогло? В знак благодарности НАЖМИТЕ ПОЛЕЗНОЕ СООБЩЕНИЕ

Мы зрим не то, что есть вокруг,
А то, что можем видеть зримо.
А то, что зреть не достижимо
Нам не узреть во век веков.

Мой веб-магазин товары Amway http://butunina.ru


Отправлено: 11:27, 09-07-2012 | #3


Аватара для Anton04

Ветеран


Сообщения: 1494
Благодарности: 262

Профиль | Отправить PM | Цитировать


Butunin Klim,

Не уверен что поможет, но всё же. Попробуйте создать правило публикации веб-узла, а там где пишется откуда выбрать "внутренняя", а куда выбрать IP. Само собой порты прослушивания Вам в этом правиле тоже придётся создавать свои.

-------
Слабый всю жизнь идёт лёгкой дорогой, черта сильного выбрать трудный путь.
Будь осторожен в своих желаниях, ибо они иногда сбываются.


Отправлено: 12:17, 09-07-2012 | #4


Аватара для cameron

Ветеран


Contributor


Сообщения: 4677
Благодарности: 1090

Профиль | Отправить PM | Цитировать


Цитата Anton04:
а там где пишется откуда выбрать "внутренняя" »
VPN Clients, а не "внутреняя", раз у него клиенты через VPN подключены.
но, что-то мне кажется что это не "выстрелит".

-------
в личке я не консультирую и не отвечаю на профессиональные вопросы. для этого есть форум.


Отправлено: 12:18, 09-07-2012 | #5


Аватара для Butunin Klim

Ветеран


Сообщения: 1482
Благодарности: 117

Профиль | Отправить PM | Цитировать


Anton04 , разумно но ИСа должна "слушать" порт 8025 , а в прослушивании трафика есть только 2 протокола HTTP HTTPS

-------
Сообщение помогло? В знак благодарности НАЖМИТЕ ПОЛЕЗНОЕ СООБЩЕНИЕ

Мы зрим не то, что есть вокруг,
А то, что можем видеть зримо.
А то, что зреть не достижимо
Нам не узреть во век веков.

Мой веб-магазин товары Amway http://butunina.ru


Отправлено: 12:46, 09-07-2012 | #6


Аватара для cameron

Ветеран


Contributor


Сообщения: 4677
Благодарности: 1090

Профиль | Отправить PM | Цитировать


Цитата Butunin Klim:
а в прослушивании трафика есть только 2 протокола HTTP HTTPS »
потому что не Publish Web Server, а Publish non-web protocols

-------
в личке я не консультирую и не отвечаю на профессиональные вопросы. для этого есть форум.


Отправлено: 12:48, 09-07-2012 | #7


Аватара для Butunin Klim

Ветеран


Сообщения: 1482
Благодарности: 117

Профиль | Отправить PM | Цитировать


Cameron, данное правлило применяется для публикации портов , а не для прослушивания!

-------
Сообщение помогло? В знак благодарности НАЖМИТЕ ПОЛЕЗНОЕ СООБЩЕНИЕ

Мы зрим не то, что есть вокруг,
А то, что можем видеть зримо.
А то, что зреть не достижимо
Нам не узреть во век веков.

Мой веб-магазин товары Amway http://butunina.ru


Отправлено: 12:50, 09-07-2012 | #8


Аватара для Butunin Klim

Ветеран


Сообщения: 1482
Благодарности: 117

Профиль | Отправить PM | Цитировать


Еще раз повторюсь, мне надо прослушать порт 8025 который ходит в интернет, при этом звернуть его не в инет, а на сервер кторый находится в сети. Публикация портов не сработает, так как в программе нельзя изменить имя сервера или IP адрес, так же там есть вебморда которая ломится на этот же сервер и работает с ним.

Суть простая , иса должна понять что идет поток на порт 8025 в интернете, туда его не пустить, а завернуть на сервер внутри компании.

Ага, спасибо за совет! Очень грамотный!
Тогда скажите мне пожалуйста "пример на пальцах" у вас есть ICQ в компании, вы не можете изменить настройки ICQ он ломится на сервер в интернете. Теперь ваша задача перехватить порт ICQ и про бросить его на ваш сервер который находится в сети. Настройки ICQ вы не должны менять. У вас есть ИСА. Где это можно прочитать в документации?

То есть апперируюя вашими словами надо создать всего навсего публикацию порта ICQ на сервер внутри организации, что бы ИСА слушала порт ICQ и заворачивала его на внутренний сервер. Только проблема в том что а ICQ указан не сервер ISA а сервер ICQ за пределами LAN, а точнее в WAN

По сути мне надо взять пакет TCP , разкапсулировать его, изменить IP адрес назначения, после закапсулировать и послать уже на новый сервер.
Мне не понятно вот что : целостность пакета будет изменена и контрольная сумма TCP пакета будет выше или ниже, что может вообще не работать, так как пакет проходит мимо маршрутизатора. По сути добавить к капсуле триггер с айпи адресом назначения это ИСА хорошо делает в виде пробросов порта, но вот разбирать сам стек , вытаскивать от туда IP назначения , после собирать капсулу... мне кажется это нельзя сделать или как!?

-------
Сообщение помогло? В знак благодарности НАЖМИТЕ ПОЛЕЗНОЕ СООБЩЕНИЕ

Мы зрим не то, что есть вокруг,
А то, что можем видеть зримо.
А то, что зреть не достижимо
Нам не узреть во век веков.

Мой веб-магазин товары Amway http://butunina.ru


Отправлено: 12:53, 09-07-2012 | #9


Аватара для cameron

Ветеран


Contributor


Сообщения: 4677
Благодарности: 1090

Профиль | Отправить PM | Цитировать


Цитата Butunin Klim:
Ага, спасибо за совет! Очень грамотный!
Тогда скажите мне пожалуйста "пример на пальцах" у вас есть ICQ в компании, вы не можете изменить настройки ICQ он ломится на сервер в интернете. Теперь ваша задача перехватить порт ICQ и про бросить его на ваш сервер который находится в сети. Настройки ICQ вы не должны менять. У вас есть ИСА. Где это можно прочитать в документации?
То есть апперируюя вашими словами надо создать всего навсего публикацию порта ICQ на сервер внутри организации, что бы ИСА слушала порт ICQ и заворачивала его на внутренний сервер. Только проблема в том что а ICQ указан не сервер ISA а сервер ICQ за пределами LAN, а точнее в WAN »
я вас неверно поняла, не кипятитесь и не нужно "апперировать" разными страшными понятиями.

-------
в личке я не консультирую и не отвечаю на профессиональные вопросы. для этого есть форум.


Отправлено: 13:11, 09-07-2012 | #10



Компьютерный форум OSzone.net » Серверные продукты Microsoft » ISA Server / Microsoft Forefront TMG » Подмена IP в ISA

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
[решено] Подмена портов и переадресация McLotos Хочу все знать 12 23-05-2012 19:25
Интерфейс - Подмена explorer.exe PIRAt0808 Microsoft Windows 7 2 24-09-2010 18:18
Разное - Подмена IP Solker Microsoft Windows 2000/XP 0 06-05-2009 21:21
Подмена символа lehha Программирование и базы данных 1 09-03-2006 08:23
подмена странички denvor Защита компьютерных систем 3 24-11-2003 20:45




 
Переход