Ausgehend PING, TRACERT etc. erlauben
Die Informationen in diesem Artikel beziehen sich auf:
- Microsoft ISA Server 2000
Nach der Installation des ISA Servers können von internen Clients die ICMP-basierte Befehle wie ping oder tracert nicht ausgeführt werden. Selbst wenn eine "Alle Protokolle zulassen"-Regel existiert. Woran liegt das?
"Alle Protokolle" bedeutet nur, alle TCP/UDP-Protokolle, nicht jedoch ICMP, zu denen ping und tracert gehören. Dies muss von Hand freigeschaltet werden.
Dafür wird das "IP-Routing" benötigt, welches in den Eigenschaften der IP-Paketfilter konfiguriert wird:
Anschließend wird ggfs. der Firewall-Service neu gestartet.
Der standardmäßig vorhandene IP-Paketfilter "ICMP ausgehend" darf nicht deaktiviert werden.
Das Ergebnis kann in wenigen Sekunden beobachtet werden:
Dass die IP-Adresse des www-Servers im zweiten Fenster anders ist liegt am
Load-Balancing des T-Online-Servers.
Ping-Anfragen werden nur vom SecureNAT-Client unterstützt. Mit einem reinen Firewallclient oder einem Webproxyclient gibt es keine Möglichkeit, externe Ziele anzupingen.
Stand: Friday, 28. August 2009/DR
