 |
||
| ||
| |||||
| Dernière réponse | |
|---|---|
| Sujet : ISA 2004 et son client pare-feu | |
| satsuky | Voilà, tout à fait d'accord. C'est là l'interêt de Mr Admin :)
|
| Aperçu |
|---|
| Vue Rapide de la discussion |
|---|
| satsuky | Voilà, tout à fait d'accord. C'est là l'interêt de Mr Admin :)
|
| Z_cool |
|
| satsuky | Le travail du PIX sera justement réduit puisque la majorité des règles seront configurées via ISA.
Quand je mentionne les protocoles, ca peut être d'autres que Telnet, FTP. Oui ISA permet d'être traversé avec ceux-ci mais rendre inutile le PIX, il le refuse catégoriquement. Bancale ou pas, je n'ai pas le choix. Je dois étudier cette configuration et fournir mon avis concernant la chose ainsi que document relatant l'installation. Indiquer que c'est bancale, oh oui que je vais lui écrire en gras ;) Quoi qu'il en soit, je te remercie pour ton aide. |
| Z_cool | PS, je me bas avec une fillale de ma boite justement pour configurer correctement un ISA 2004, les table de routage ont jamais ete penssé, tout a été fais a la vas comme jte pousse.
Hier j ai demandé au reponssable de la maison mere de remetre a plat le routage dans toute la filliale... ca reponse a ete : Ca marche (par miracle), je refuse d'y retoucher quelque chose. enfin bref cette petite histoire pour dir que si tu part bancale, ca s'ameliorera jamais. au contraire. |
| Z_cool |
|
| satsuky | J'ai beau lui dire, il ne veut pas virer son Pix chéri... Il ne veut pas non plus le sentir inutile (pour le moment, c'est le seul firewall et toutes les règles sont dessus, voilà pourquoi).
1- Faire une table de routage? Oui... maintenant que tu me le dis, j'approuve totalement. Il est vrai qu'il fera partit d'un sous réseau regroupant les routeurs Pix, r1 et lui-même. Je n'ai pas encore étudier la façon de créer une table de routage dans ISA... 2- J'aimerais bien mais pas Mr Admin. justement à cause des clients désirant accéder au web par des protocoles genre Telnet, etc. 4- Concernant cela, je ne suis pas sûre. La route par défaut, si rien d'autre ne répond, est le Pix justement. C'est pour cette raison que je comptais utiliser le client pare-feu. S'il est activé, la route est donc ISA sinon la route est le Pix. Route par défaut = gateway des routeurs Je sais, j'y tiens à mon client pare-feu, désolée de vous casser les pieds avec :) |
| Z_cool |
|
| satsuky | Voilà j'ai modifié au dessus :) |
| Z_cool | oui ? |
| satsuky | @ trictrac: Bon, je réexplique (je fais du mieux que je peux, dsl)
J'ai pris le client pare-feu comme solution car c'est celui qui me semble le plus approprié. Il gère tous les protocoles tandis que le client proxy ne gère que le FTP/HTTP/S. (il me faut une authentification donc SecureNat, on oublie). Comment ai-je pensé à tout cela: en installant et activant le client pare-feu, l'ordi client est tenu de passer par ISA. Si je le désactive, le client n'est - je crois - plus tenu de passer par ISA. Déjà, me confirme-tu cela ou pas? Le but de ce projet: à la base, tout le monde passe par le proxy ISA, c'est une obligation. Mais, lors de l'utilisation de certains protocoles (Telnet par ex), les demandent ne passent pas par ISA mais vont direct au Pix (des règles seront créées en conséquence!). Donc, comment faire selon toi pour que de base, le client utilise le proxy ISA et que, lors d'un projet, il ait la permission de passer sur le Pix directement sans avoir besoin de triouiller la config réseau? J'ai donc pensé au client pare-feu... mais je ne sais pas si ca peut réellement marcher d'où ce sujet ici ;) @ Z_cool: 1- Je ne peux pas, monsieur admin tient à cette liaison. Les clients passent par ISA (qui lui fait le tri grâce aux règles d'accès). Le reste continue et se renseigne auprès du serveur DNS puis les requêtes sont envoyées. 2- Ca c'est déjà fait :) 3- Ca aussi, c'est ok 4- Impossible, la passerelle de chaque PC doit être leur routeur personnel de chaque sous réseaux Imaginez, pour aider, que le PIX ne contient que la règle permettant de sortir sur le net. Le serveur ISA lui détaille la suite en autorisant que le groupe X et pas Y. Voilà son travail. Mais à coté, je dois pouvoir autoriser certains à utiliser des protocoles sans passer le tri d'ISA car ils sont quoi qu'il en soit autorisés par Monsieur Admin (et le PIX). Comprenez que ce schéma réseau, il ne vient pas de moi, on me l'a imposé. Je vous promets que je fais pas exprès, je dois adapter. |
| Z_cool | Bon, avec une tel configuration reseau voila ce que je ferais :
1- Suppression de la connexion reseau qui correspond sur l'ISA a 157.26.219.20 2- Autoriser dans le firewall que le ISA a sortir et ce quelque soit le port 3- Gateway du proxy : 157.26.220.2 4- Gateway de tous les PC : 157.26.222.4 Voila, en gros comme ca, |
| trictrac | pourkoi veux-tu utiliser ce client absolument?? tu n'en as pas besoin ..
je ne comprend vraiment pas .. Tu dois vendre le produit (que tu ne connais pas) ou tu as une vraie raison ?? |
| satsuky | Voici un plan: http://www.sevenseals.ch/ModeleReseau2.jpg
J'espère que vous saisirez mieux. Je rappelle que je cherche à avoir votre avis concernant le client pare-feu d'ISA 2004 dans cette configuration. |
| Z_cool | plus tu donne de detail, moins je comprens. un schema s'impose je pense
sinon, rappel toi que ISA 2004 est : Un proxy, un firewall et un routeur a lui tout seul |
| satsuky | Petite réctification: en gros, j'ai un routeur sur lequel sont connecté plusieurs sous réseaux différents bien distincts (ya un sous rés Administration, un autre Pédagogie, un autre HES, etc).
Donc physiquement, mon serveur ISA se trouve entre le routeur regroupant tous mes sous réseau et la zone DMZ; il en est de même pour le routeur firewall. Je sais bien que là où il est, il ne sert pas à grand chose vu que les clients peuvent passer à côté seulement je n'ai pas le choix! On me demande de la placer de cette façcon car certains clients (comme des élèves par ex) doivent passer par ISA tandis que les profs, eux, passent à côté. le serveur ISA permet d'instaurer des règles précises pour des clients, via des ports, des protocoles tandis que le firewall instaure les règles régissant la structure de la sécurité. Je précise qu'après, la connexion au web est uniquement faite via le routeur firewall et non ISA. Donc ISA doit y passer au travers mais avant cela, il fait le tri pour pas laisser passer le superflu - ceux qui n'ont rien a aller sur le web par exemple. Donc, ma seconde question du premier post concerne essentiellement le logiciel de client pare-feu et ses réactions lors des activations/désactivations. Pour le ftp, je suis d'accord. Mais en l'occurence, le proxy ne me gêne pas, je souhaite étudier le client pare-feu. |
| trictrac | ISA n'a pas a avoir de patte dans les 2 reseaux: dans ce cas, il bypass le FW.
Il a juste une patte en DMZ, et dans le FW, tu fais une regle qui autorise tout le monde vers ISA, et une autre qui autorise ISA vers internet ... Sinon, ton fw ne sert a rien. Pour le ftp, tous les client ftp autorisent de specifier un proxy |
| satsuky | C'est pas que ca me plaît pas, c'est que j'ai un cahier des charges assez précis.
Je ne suis pas sûre de saisir ta seconde ligne. IE n'est qu'un détail, je modifie les paramètres de connexion pour le faire passer par ailleurs. Le FTP ainsi que le telnet, je n'utilise pas de navigateur. J'utilise essentiellement un prog FTP (smartFTP) et l'invite de commande DOS pour telnet. Le but de mon étude ne concerne pas les navigateurs (ca serait bien trop facile sinon^^). |
| Z_cool | ba perso, je bloquerais le routeur/firewall pour qu'il n accepte que des requette de ISA2004, lui est tout a fait capable de relayer les acces FTP, telnet, ...
sinon, si ca te plais vraiment pas, tu peux bloquer le port 80 sur ton Firewall. et avec une regle de Domain interdir de changer la valeur du proxy dans IE |
| satsuky | Bonjour,
Je travaille dans un réseau local dans lequel se trouve un serveur ISA 2004 version Entreprise. Mon réseau est divisé en deux sous réseaux: zone DMZ et réseau interne. ISA a une patte dans chaque sous réseaux car il s'agit d'un pare-feu arrière. A côté de cela, mon réseau interne dispose d'une connexion directe à l'Internet (ne passant pas par ISA) passant par un routeur firewall. Mon serveur ISA passe également par ce routeur firewall pour accéder au net. Donc, mes clients ont le choix de passer soit en directe sur le routeur ou alors par ISA. Par défaut, je souhaite qu'ils passent par ISA (logique). Pour cela, j'ai décidé d'utiliser le client pare-feu. Mais pour certains protocoles (FTP et telnet), j'aimerais que le client pare-feu ne prenne pas en charge les demandes et donc, il ne reste plus qu'aux users d'utiliser la ligne directe à l'Internet. Mes questions: 1: peut-on configurer le client pare-feu pour qu'il bloque certains protocoles ce qui oblige les users à s'adresser au routeur firewall (ligne directe quoi)? 2: selon vous, est-ce que ma configuration est correcte? C'est-à-dire, si j'active le client pare-feu sur mes stations clientes, les demandes passeront effectivement par ISA. Si je désactive le client pare-feu, les demandes passeront en directe et ne s'adresseront pas au serveur ISA. Qu'en pensez-vous? Je suis à votre écoute! Merci pour votre futur aide |
