PDA

View Full Version : how to config ISA with PIX



quyanh
05-01-2005, 09:29 AM
tôi có mô hình mạng như sau:
LAN------ISA------PIX515E--------ROUTER--------INTERNET
có 1 dãy địa chỉ đăng ký trên internet là 203.x.y.208/28
nếu không có ISA thì tôi có thể cấu hình, nhưng khi có ISA thì tôi không biết cấu hình thế nào cho đúng, rất mong mọi người giúp
yêu cầu là :
- tất cả các users trong LAN đều được kiểm sóat truy cập internet thông qua ISA.
- pubplic 2 server trong LAN ra internet : Webserver and mailserver

Thanks

HuuHoa
05-01-2005, 09:44 AM
chào quyanh

Mục tiêu của đặt một ISA server vào vị trí đó là để làm gì? Nếu mình rõ mục tiêu thiết kế thì mình mới có cách cấu hình phù hợp. Theo mình hiểu thì các chức năng về firewall đã do PIX đảm nhiệm. Nên ISA trong trường hợp này chỉ làm giống như proxy phải không?

itmansaigon
05-01-2005, 09:55 AM
tôi có mô hình mạng như sau:
LAN------ISA------PIX515E--------ROUTER--------INTERNET
có 1 dãy địa chỉ đăng ký trên internet là 203.x.y.208/28
nếu không có ISA thì tôi có thể cấu hình, nhưng khi có ISA thì tôi không biết cấu hình thế nào cho đúng, rất mong mọi người giúp
yêu cầu là :
- tất cả các users trong LAN đều được kiểm sóat truy cập internet thông qua ISA.
- pubplic 2 server trong LAN ra internet : Webserver and mailserver

Thanks

Cấu hình như trên thường dùng cho những công ty có nhu cầu về bảo mật cao (dùng 2 firewall của hai vendor khách nhau để tránh trường hợp một firewall bị security bug)
Thông thường khi dùng cấu hình này người ta sẽ có một segment DMZ riêng để public các Internet services ra ngoài, nhưng nếu bạn cứ cố tình đưa các local hosts ra bên ngoài :roll: thì chịu khó NAT thêm một lần nữa ở ISA

quyanh
05-01-2005, 10:06 AM
tôi chưa thấy mô hình này lần nào nên không biết asign các địa chỉ ra sao ? nhờ bạn chỉ giúp trên mô hình
Thanks

sinhvienngheo
05-01-2005, 10:44 AM
hi quyanh

địa chỉ đấu nối của đường truyền có tính vào dãy địa chỉ trên hay không? hay là ISP sẽ cấp địa chỉ đấu nối riêng?

quyanh
05-01-2005, 01:18 PM
tôi không biết assign địa chỉ giữa inside interface của PIX và địa chỉ internal của ISA như thế nào cho hợp lý.
Thanks

itmansaigon
05-01-2005, 01:35 PM
External if của PIX là một trong 14 usable IP addresses mà bạn có
Internal if của PIX là một private IP address nào đó mà bạn chọn
External if của ISA là một private IP address cùng segment với Internal if IP address của PIX ở trên

changchancuucodon
05-01-2005, 01:41 PM
nếu trên PIX có DMZ thì cho DMZ dãy địa chỉ thật 203.x.ỵ mà bạn được cấp. Card mạng bên trong ISA server là một địa chỉ mạng private khác nữa.

itmansaigon
05-01-2005, 02:49 PM
nếu trên PIX có DMZ thì cho DMZ dãy địa chỉ thật 203.x.ỵ mà bạn được cấp.

Như vậy thì DMZ và external if IP address của PIX cùng subnet à :lol:

quyanh
06-01-2005, 02:27 PM
Thanks,
mình làm được rồi

cuongk44d
14-10-2005, 10:23 AM
Bạn config pix và ISA bình thường, qua Pix NAT một lần, sau đó qua ISA NAT tiếp lần nữa là okie

dongdv
19-10-2005, 01:49 PM
chia sẻ cho mọi người kinh nghiệm đi

Mr.Metal
16-02-2006, 04:09 PM
Hi,

bạn quyanh có thể share cách config của bạn được ko ?

cám ơn

ngd
17-02-2006, 03:43 PM
Mình nghĩ đâu thể NAT 2 lần như Cuongk44d nói được nhỉ.
Đợt trước mình có thử theo mô hình thế này:
Server ---- Firewall -------Modem -------Internet.

Firewall NAT 1 lần, sau đó Modem lại NAT 1 lần nữa.
Các IP đều là Private, còn Modem ADSL đăng ký 1 tên miền.

Mình ko rõ là mình làm sai hay NAT 2 lần là ko được.
Rất mong được giúp đỡ.

VnPro2005
19-02-2006, 07:11 AM
mình nghĩ hoàn toàn có thể NAT được 2 lần mà. Modem nó NAT cho ISA (Firewall) rồi từ ISA lại NAT cho các Local được mà.

dongbp
24-02-2006, 01:35 PM
hi
Toi cung dong y voi y kien la hoan toan co the nat duoc hai lan. Tuy nhien van de kho nhat se nam o viec publish mail va web server tu isa ra ngoai Internet.
Ban chi duoc chon 1 public ip dai dien cho ca mail va web cua ban ngoai internet( nat static, cau hinh tren pix). publish mail va web tren ISA.

nhatruc
12-04-2006, 03:04 PM
Xin chao cac anh/chi cac ban. Truc nghe noi ISA server 2004 rat hay,
Vay ai co tai lieu ve ISA 2004 lam on cho Truc xin duoc khong a?
email: tonnunhatruc@yahoo.com
Mong cho hoi am.

VnPro2005
12-04-2006, 07:08 PM
Xin chao cac anh/chi cac ban. Truc nghe noi ISA server 2004 rat hay,
Vay ai co tai lieu ve ISA 2004 lam on cho Truc xin duoc khong a?
email: tonnunhatruc@yahoo.com
Mong cho hoi am.


ISA 2k4 thì quá tuyệt vời rồi, nếu đã dùng bản 2k mà chuyển sang 2k4 thì sẽ thấy 2k4 là một cú vượt ngoạn mục. :)

Tài liệu bạn qua box MS nhé.

cuongk44d
14-04-2006, 11:42 AM
Xin chao cac anh/chi cac ban. Truc nghe noi ISA server 2004 rat hay,
Vay ai co tai lieu ve ISA 2004 lam on cho Truc xin duoc khong a?
email: tonnunhatruc@yahoo.com
Mong cho hoi am.

Dung Emule search ve nhieu lam, chu gui thi nang qua' down con lau hon!!

hkien
01-02-2008, 07:46 AM
đọc vào mà chả hiểu gì lắm...cho mình hỏi với

ISA là 1 ứng dụng trên Windows server 2003 phải ko?
như vậy theo mô hình và như cách các bạn nói thì mình hình dung như sau có đúng ko??

+ 1 LAN bao gồm các máy con và 1 máy server có cài ISA(trên ISA thiết lập IP private của server này là default gateway của mạng LAN + thiết lập NAT).

+ Từ LAN này nối đến 1 PIX firewall có cài đặt NAT

.......


có đúng ko các bạn?

hkien
29-07-2008, 07:15 AM
sao lau roi` ko ai tra loi giu`m ca nhi!?