Подмена IP в ISA
 

задача странная но надо как-то решить.
Во вне есть VPN клиенты которые подключаються к ISA 2006 и используют в качестве шлюза ИСУ
На клиенте есть программа которая работает по 3 протоколам 80 443 8025 (TCP)
Внутри есть сервер-сервис на котором запущено приложения для работы с 8025 портом.

По сути решеатся данная задача методом публикации порта и проброса на 8025 внутри организции. Но тут есть один ньюанс.
1. В программе нельзя изменить имя сервера подключения. (То есть программа ломится на ip в WAN)
2. В ISA нет прослушивателя (или есть вот это меня и интересует) TCP порта и после заворачиаения его не на WAN IP а на сервер который я скажу.
3. 80 443 порт нужен для веб морды который находится в WAN IP
Если на пальцах то мне надо использовать как бы подмену IP с помощью ISA

попробуйте изъясниться более понятным языком, я ничего не поняла из этого потока.

off
найдите программеров и стучите им в мозг отбойным молотком, предварительно сломав руки до плеч.

минимально допустимое отсутстиве мозга - DNS Имя, а не IP.

Спасибо за ответ.

Давай -те более детально.
У Вас есть программа которая работает с IP адресом, в интернете по TCP порту 8025
Клиенты располагаются в ВПН сети и на них установлен софт (клиент)

Мы запускаем клиент который обращается к IP который находится в интернете.
Соответственно все потоки идут через ISA , она их маршрутизирует. (так как ISA является маршрутизатором (прокси сервером) для VPN клиентов)

Задача:
1. Перехватить работу порта 8025
2. Пробросить его во внутренний сервер

По поводу програмистов, согласен. Но это решение которое займет много времени , если иса этого мне может конечно будет долбить программеров, или использовать HOST фаил для обхода данной проблемы , но хочется решить это быстро с помощью такого гиганта как ИСА.

Butunin Klim,

Не уверен что поможет, но всё же. Попробуйте создать правило публикации веб-узла, а там где пишется откуда выбрать "внутренняя", а куда выбрать IP. Само собой порты прослушивания Вам в этом правиле тоже придётся создавать свои.

VPN Clients, а не "внутреняя", раз у него клиенты через VPN подключены.
но, что-то мне кажется что это не "выстрелит".

Anton04 , разумно но ИСа должна "слушать" порт 8025 , а в прослушивании трафика есть только 2 протокола HTTP HTTPS

потому что не Publish Web Server, а Publish non-web protocols :read:

Cameron, данное правлило применяется для публикации портов , а не для прослушивания! :read:

Еще раз повторюсь, мне надо прослушать порт 8025 который ходит в интернет, при этом звернуть его не в инет, а на сервер кторый находится в сети. Публикация портов не сработает, так как в программе нельзя изменить имя сервера или IP адрес, так же там есть вебморда которая ломится на этот же сервер и работает с ним.

Суть простая , иса должна понять что идет поток на порт 8025 в интернете, туда его не пустить, а завернуть на сервер внутри компании.

Ага, спасибо за совет! Очень грамотный!
Тогда скажите мне пожалуйста "пример на пальцах" у вас есть ICQ в компании, вы не можете изменить настройки ICQ он ломится на сервер в интернете. Теперь ваша задача перехватить порт ICQ и про бросить его на ваш сервер который находится в сети. Настройки ICQ вы не должны менять. У вас есть ИСА. Где это можно прочитать в документации?

То есть апперируюя вашими словами надо создать всего навсего публикацию порта ICQ на сервер внутри организации, что бы ИСА слушала порт ICQ и заворачивала его на внутренний сервер. Только проблема в том что а ICQ указан не сервер ISA а сервер ICQ за пределами LAN, а точнее в WAN

По сути мне надо взять пакет TCP , разкапсулировать его, изменить IP адрес назначения, после закапсулировать и послать уже на новый сервер.
Мне не понятно вот что : целостность пакета будет изменена и контрольная сумма TCP пакета будет выше или ниже, что может вообще не работать, так как пакет проходит мимо маршрутизатора. По сути добавить к капсуле триггер с айпи адресом назначения это ИСА хорошо делает в виде пробросов порта, но вот разбирать сам стек , вытаскивать от туда IP назначения , после собирать капсулу... мне кажется это нельзя сделать или как!?

я вас неверно поняла, не кипятитесь и не нужно "апперировать" разными страшными понятиями.

Да, я не кипячусь, че мне кипятится -то.

я не знаю способа решения такой задачи с помощью ISA/TMG.

Может поиграть с клиентом иса? может кто уже делал такие трюки?

Если вы имеете в виду FWC, то он Вам в этом тоже не помощник... увы и ах...
Больно у Вас мудрёная задача, от сюда можно сделать осторожный вывод: или вы пытаетесь сделать с помощью исы, то для чего она не предназначена или у Вас первоначально задача поставлена не верно.

Вообще я тупо сделал по старинке. Через route и все.

Мне надо либо порт либо на этот IP сделать маршрут через определенную машину. Я решил с помощью route, порт не стал заворачивать, так как понял что не возможно это сделать с помощью ИСА. Завернул просто весь трафик.