ISA Server FAQ Home | ISA 2000 | ISA 2004 | ISA 2006 | TMG | Verschiedenes | Tools | Downloads | Links | Das Buch! | Bücher | User Group | Events | Blog | About | Sitemap | Suche

Kapitel höher
ISA Terminalservice
ISA und SBS
Ping eingehend
Incoming ping response
pcAnyWhere
Terminalserver
TSAC / TSWeb
DNS veröffentlichen
Webserver - Teil 1
Webserver - Teil 2a
Webserver - Teil 2b
Webserver - Teil 3
Webserver mit IP-Zielsatz
Exchange SMTP
Exchange OWA
Exchange OWA mit FP1
OWA SSL Teil 1
OWA SSL Teil 2
OWA SSL Teil 3
OWA SSL Teil 4
OWA SSL Teil 5
Veröffentlichungen einschränken
Exchange RPC
RPC über HTTPS

 

Eingehende ping-Anfragen zulassen


Die Informationen in diesem Artikel beziehen sich auf:

  • Microsoft ISA Server 2000

 

Standardmäßig kann man die externe Schnittstelle des ISA Servers direkt nach der Installation nicht anpingen. Das liegt daran, wie der ISA mit ICMP Paketen umgeht. Sie werden alle verworfen. In den meisten Fällen gibt es auch keine Notwendigkeit, dies zu ändern. Sagen wir, es ist ein weiteres kleines Sicherheitsfeature - nicht spektakulär, aber wirksam, denn dadurch wird der ISA Server zuerst einmal versteckt. Sofern keine Veröffentlichungsregeln erstellt wurden, ist der ISA Server von außen durch Scans nicht sichtbar und somit nicht angreifbar. Sofern natürlich Veröffentlichungsregeln eingesetzt werden, ist der ISA wieder durch gezielte Portscans verwundbar, aber das ist nicht Bestandteil dieses Artiekls. Dazu gibt es auf dieser Website andere Artikel.

Es gibt kaum Anwendungsfälle, bei denen eine Firewall angepingt werden können muss. Daher auch meine Empfehlung, nur in Ausnahmefällen dieses Verhalten ändern.

Die Konfiguration des ISA Servers für die Annahme und Beantwortung externer ping-Anfragen ist fast so einfach wie Ping ausgehend.

Von Haus nimmt der ISA Server keine externen pings an:


Wobei in diesem Beispiel der verwendete ISA Server als externe IP-Adresse die 192.168.22.10 hat.

Es muss ein neuer IP-Paketfilter erstellt werden:


Das benötigte Protokoll ist bereits vordefiniert.


Hier kann festgelegt werden, ob der ISA nur auf einer bestimmten externen IP-Adresse ping-Anfragen antworten soll.


Hier könnte (z.B. aus Sicherheitsgründen oder für Testzwecke) nur ein erlaubter externer Client eingetragen werden, dem der ISA Server antwortet.

Schauen wir uns die Eigenschaften des Filters etwas genauer an:

Nach wenigen Sekunden (ca. 5-10) ist das Ergebnis sichtbar:

 

Die oben beschriebene Vorgehensweise sorgt dafür, dass man die erste eingetragene IP-Adresse anpingen kann. Wenn man jedoch eine zusätzlich vorhandene externe IP des ISA pingen können möchte, sind folgende Schritte notwendig:

Es muss wie oben beschrieben ein IP-Paketfilter für "ICMP-Ping-Anfrage" erstellt werden. Auf der Dialogseite "Lokaler Computer" muss im mittleren Feld die IP angegeben werden.

Zusätzlich muss ein weiterer IP-Paketfilter erstellt werden:

Stand: Friday, 28. August 2009/DR.


Home | ISA 2000 | ISA 2004 | ISA 2006 | TMG | Verschiedenes | Tools | Downloads | Links | Das Buch! | Bücher | User Group | Events | Blog | About | Sitemap | Suche

Fragen oder Probleme in Zusammenhang mit dieser Website richten Sie bitte an den Webmaster. Bitte inhaltliche oder technische Fragen ausschließlich in der deutschen ISA Server Newsgroup stellen.
Verbesserungsvorschläge, Anregungen oder Fremdartikel sind jederzeit willkommen! Copyright 2001-2011. Alle Rechte vorbehalten. msisafaq.de steht in keiner Beziehung zur Microsoft Corp.
Stand: Monday, 18. March 2013 / Dieter Rauscher