【求助】麻煩一下:ISA 2000防火牆設定的問題~~

[killkeelung]

哈囉``我想問一下ISA 2000防火牆設定的問題...
-------------------------------------------------------
我住外面,上網是IP分享器分享的..
今天我在房間自己架構兩個電腦A,B,想說a模擬成防火牆..b為client
我在A電腦灌ISA 2000,A電腦有兩張網卡
對外網卡因為是IP分享器給的,所以我設自動取得...
(IPCONFIG為192.168.1.15/24...gateway為192.168.1.1)
對內網卡我設不一樣的區段
IP為10.0.0.254/8...dns:168.95.1.1...gateway沒設
-------------------------------------------------
我也把isa基本的規則都設定ok..(就是對外存取都allow)
但就是不能上網~~
只要我停止isa的服務就可上網...>_<

我知道在ip分享器後面設這樣怪怪的..我只是無聊,想自己玩玩lab..
我有哪些觀念或設定上的錯誤嗎?麻煩各位幫幫忙喔...

[Schnaufer]

　　不曉得你是想玩到何種程度, 裝起來是一回事, 要考過 70-227 又是另一回事.

　　在問問題之前有多功課是要做的, 尤其是 Server 產品, 根本不建議一般人去使用, 根據你的發問, 我猜你可能正在上 MOC 2159 吧！你可以再回去翻翻那本書.

　　此外, 在此問題中你漏掉了很多東西, ISA Server 2000 分成兩個版本, 其中 Standard Edition 裝完 Server 本身不需任何設定即可上網, Enterprise Edition 則需要額外設定; 此外, 你也並沒有提到你安裝時的選項: Cache Mode, Firewall Mode, & Integrated Mode, 如果是 1 or 3, 還可以直接在 IE 設定 proxy 達成讓 ISA Server 直接上網.

　　不過切記, default 設定讓 ISA Server 不能上網是有原因的, 當然測試是一回事, 在 production 環境不要為了一時的方便而也大開了讓其他人方便之門.

[killkeelung]

謝謝你的回答``
我真的 "..只是無聊,想自己玩玩lab..""
是看唐遜的isa server 2000的書自己玩的```
你說的..MOC 2159 是什麼東西~~我不知道耶
--------------------------------------------------------



我用Enterprise Edition ... 灌Integrated Mode...

謝謝囉``我要回去翻書''再study一下....

[skynet]

把用戶端的gateway設成你對內的那張網卡ip應該就可以了..在ie上也不需要設定proxy..

[killkeelung]

謝謝~
我沒有說清楚我的狀況~~
我住外面~~我只能拿到的對外IP,就是房東IP share給的那一組IP:192.168.1.15(動態)
A電腦灌ISA 2000,A電腦有兩張網卡
對外網卡為192.168.1.15/24...gateway為192.168.1.1(我是設自動取得)
對內網卡為 10.0.0.254/8...dns:168.95.1.1...gateway沒設
----------------------------------------------------------------------
版本為Enterprise Edition..灌Integrated Mode
我有設定允許所有的協定通過
但本機(A電腦)就是不能上網~~
我進isa看,firewall模式並沒啟動...
但只要把isa的服務停掉...就可上網...
我這幾天翻唐遜的isa server 2000..還是無法理節....>_<
可否麻煩前輩幫忙...或是介紹一些database的來源...thx

[Schnaufer]

　　http://www.isaserver.org/ & Books of Tom Shinder.

[killkeelung]

大家好``
我的問題仍沒解決~(我有去書店翻書和問人喔...)
不過發現很怪的事喔`
就是接在防火牆後面的"Clients端"可以上網耶
反而是裝isa防火牆的電腦自己本身不能上網
網頁連結會出現"dns或
internet設定錯誤"的訊息
我在防火牆的電腦上往外ping 都可以ping的到外部dns耶
可是就是不能上網...

[jwenchin]

ISA2000預設是不能上網的
請在 IE 設定代理伺服器 PROXY

[Darker]

大家好``
我的問題仍沒解決~(我有去書店翻書和問人喔...)
不過發現很怪的事喔`
就是接在防火牆後面的"Clients端"可以上網耶
反而是裝isa防火牆的電腦自己本身不能上網
網頁連結會出現"dns或
internet設定錯誤"的訊息
我在防火牆的電腦上往外ping 都可以ping的到外部dns耶
可是就是不能上網...

Access Policy -> IP Packet Fileter->內容
Enable IP packet Filtering
New Filter-> Custom
IP Protocol :TCP
Direction:Both
Local Portynamic
Remote Port: Fixed Port
Remote Port number:80

[killkeelung]

Access Policy -> IP Packet Fileter->內容
Enable IP packet Filtering
New Filter-> Custom
IP Protocol :TCP
Direction:Both
Local Portynamic
Remote Port: Fixed Port
Remote Port number:80

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
謝謝..我家了這一條rule後,灌isa防火牆那一台電腦(以下稱a)就可上網啦..
只是我覺得很奇怪
為何在沒有設這一條rule之前,我後端的client(以下稱b)就可上網呢?

----------------------------------------
A電腦灌ISA 2000,有兩張網卡
對外網卡設自動取得
對內網卡為 192.168.0.254
----------------------------------------
B電腦用跳線接A電腦的對內網卡
設192.168.0.100
GETWAT設192.168.0.254
---------------------------------------
後來發現A電腦能不能上網的關鍵在有沒有設這條RULE
但B電腦在沒設這條RULE之前就可上網???!!!

B電腦能不能上網的關鍵在有沒有允許協定
只要有允許協定通過,B電腦就可上網???!!!
好怪喔~~