(Notes) Notes (2006 год)

Настройка ISA2006 в конфигурации внутреннего межсетевого экрана с роутингом на основе хост-хеадеров

ИСУ я поднимал лично множество раз в различных конфигурациях и в различном окружении. У меня уже есть на сайте несколько различных описаний конфигурирования ISA, но на этой страничке я выложу описание весьма специфической конфигурации (весьма полезной для любого хостинга), суть которой в том, что ИСА разбрасывает входящие запросы к сайтам по множеству различных виртуальных и физических машин, некоторые из которых работают под юниксами, некоторые под Апачем на Win-платформе, некоторые на ASP.NET. В описанной ниже конфигурации ISA непосредственно не подключена к интернету, а расположена глубоко внутри хостинга за апппаратным брэндмауэром.


Любой роутер/фаервол, в том числе ISA server 2006 работает в конкретном окружении. Поэтому просто какое-то описание методик настройки ISA-Server, без его привязки к конкретному окружению - никакого значения не имеет. Измените здесь один шлюз или любое другое определение во внешнем окружении - и все описанное ниже может стать не только бессмысленным, но и вредным и вводящим в заблуждение. Поэтому чтобы перейти собственно к настройкам ИСЫ, сначала я в точности опишу все окружение, в котором я выполнил роутинг на основе хост-хеадеров.



И это все с внешним окружением - теперь собственно перейдем к конфигурированию ISA SERVER 2006.


Первое - шлюз на кампе с ИСОЙ должен смотреть в фаервол, а не куда либо еще. Если этого не сделать - выход в интернет будет происходить через другой канал.

В моей конфигурации - DNS используется только мой собственный внутренний, находящийся на внутреннем интерфейсе ИСЫ - фактически расположенный на физ-машине - 10.10.10.11 - и мы это укажем в IP-конфигурации ISA-сервера. Хотя можно обойтись и без внутреннего DNS.

Cамое важное, на чем начинающие теряют кучу времени - надо задушить собственный IIS, находящийся на кампутере с ИСОЙ - на ее внешнем интерфейсе. Ибо на этот самый интерфейс фактически пробрасывает все реквесты фаервол - http://torrent.asp-net.ru внешний DNS превращает в http://195.234.108.109, а на фаерволе они превращаются в http://10.2.2.3. И тут-то и срабатывает внутренний IIS этой машины и отвечает на реквест - какие бы там дальше правила в ИСЕ уже не были приписаны.


Теперь, задав правильно IP-конфигурацию кампутера с ИСОЙ - перейдем непосредственно к конфигурированию. Для нашей ситуации выбираем шаблон - Внутренний межсетевой экран - - именно он создаст все необходимые нам правила по умолчанию. Эти же правила в натральном виде выглядят так.

Мастер конфигурирования настроек этого шаблона - это пара окошек, которые просят ввести единственный параметр - адрес внутреннего интерфейса. Я его ввожу обычно без широковещательной составляющей, хотя в прессе ведется широкая дискуссия на эту тему. Некоторые придерживаются точки зрения, что "добрый" интерфейс надо определять с широковещательной составляющей, в данном случае 10.10.10.255, но я не ввожу ее и таким образом широковещательные запросы у меня становятся эквивалентными запросам по "злобным" интерфейсам.

Второе важное место, в конфигураторе ИСЫ - это инструменты - кирпичики, которымы строятся все правила - для начала они не нужны, именно там надо все корректировать, если что-то не получится. Для удобства я там ввел символические обозначения двух кампутеров - Apache - это адрес у меня стоит Web-Сервер (10.10.10.15), который я хочу опубликовать и DMZ - внешний интерфейс этого кампутера, который смотрит в Фаервол (10.2.2.3)


Теперь решим первую простейшая задача - вывести этот кампутер и все прочие в интернет - именно через эту ИСУ.

В нашей учебной конфигурации - это будет правило номер 3. Это ОДНО-ЕДИНСТВЕННОЕ правило, которое нужно, чтобы все могли ходить в инет через эту ису. Конечно, тут можно накрутить аутентификацию и много чего еще (даже безо всяких VPN), но мы рассматриваем САМЫЕ МИНИМАЛЬНЫЕ ДЕЙСТВИЯ для настройки ИСЫ.

Так вот, самое главное место, где настраивается выход в интернет - помимо собственно рассмотренно выше правила - еще надо поставить галки подсказки браузеру по автообраружению ИСЫ. Это место микрософтовцы запрятали на четыре вкладки свойств локальной сети, но в принципе там все стоит по умолчанию достаточно нормально и, если повезет - там можно ничего не ковырять.

Если автообнаружение ИСЫ браузером работает нормально, то в браузере достаточно будет просто поставить галку "автоматическая настройка параметров". В противном случае надо явно указать порт (стандартно 8080) и адрес (в моей конфигурации - это внутренний интерфейс ИСЫ - 10.10.10.16)


Теперь я покажу, как опубликовать Web-сервер, да не просто так, а чтобы в зависимости от доменного имени реквест попадал В ТУ ИЛИ ИНУЮ ВИРТУАЛКУ. Для этого нам понадобится ДВА ПРАВИЛА. Правило прав доступа - желтое с ключиком и правило роутинга - с синим кампутером.


Я не буду заморачиватся с правами доступа в этом примере и сейчас настрою правило доступа очень просто - все отовсюду имеют право ходить по HTTP.

Теперь поднимем правило роутинга.

Само по себе правило роутинга - это достаточно сложная штука, которая состоит из 14 вкладок, на которых определяется алгоритм роутинга пакетов. Правила обрабатываются сверху вниз по вот такому алгоритму (да еще и с учетом прав доступа).

Создается это правило мастером, который спросит основные параметры этих 14-ти вкладок. Один из моментов этого мастера - это выбор прослушивателя. Те где собственно говоря ИСА будет слушать реквесты. Этот прослушиватель указывается на вкладке правила и он же виден как инструмент-кирпичик конфигурирования ИСЫ.

Теперь посмотрим самые важные вкладки правила публикации. Трафик идет с каких адресов c любых, Идет куда - в нашу виртуалку с апачем, какой TCP/IP Listener его слушает, как разбирается заголовок и на основании какого host-header'а именно роеквест будет пробрасыватся в нашу виртуалку и в какой именно ее порт. Остальные вкладки с безопасностью мы рассматривать не будем - там достаточно для начала все отключить.


Теперь мы посмотрим, как можно проверить теперь все. Ну во-первых, это правило публикации может сразу не получится, поэтому я всегда сначала готовлю запасное правило роутинга для обхода сложных контекстных правил ИСЫ. Это конечно совсем не то правило, которые мне нужно для моего хостинга, однако этим правилом я могу проверить DNS, фаервол, коннекты к провайдеру, внешний DNS, привязку виртуалки к физической машине. Так вот, я включаю это правило роутинга - в обход ИСЫ и глубокого контекстного разбора реквеста по хост-хеадерам и перехожу на вкладку наблюдение. Затем даю реквест совсем с другого провайдера и получаю прямой проброс реквеста в требуемую виртуалку без анализа хост-хеадера - и вижу что все окружение нормально работает.


Теперь выключаю это проверочное правило и включаю правило глубокго разбора реквеста и маршрутизации на основе хост-хеадера, которое я описал выше (и правила доступа по этим марштурутам - с ключиком, четвертый номер). Как видите - все радикально изменилось - нету хеадера - нету и исполненного реквеста. Но с анализом хост-хедера все работает - что нам и требовалось! Теперь мы можем задействовать десятки виртуалок, назначив на каждую из них обработку отдельных пакетов хост-хеадеров.


Разумеется в жизни все гораздо сложнее - я не могу потревожить работающий хостинг и сделал это описание на примере одного из своих серверов, который пока не задействован в реальной работе. В жизни все существенно сложнее - есть и VPN, есть и почта, есть и торрент, есть и SSL, причем в моем случае даже не только стандартный SSL, но и по ГОСТ-овским сертификатам. Кроме того, к ISA существует множество примочек для онлайнового или офлайнового анализа трафика, и каждое из них достойно отдельного описания. Я возможно соберусь с силами и опишу еще некоторые примеры настроек моего хостинга для торрентов, SSL или по взаимодействию ИСЫ с почтой - но пока это все.


Надеюсь, это мое описание живой настройки ISA server 2006 с живыми скринами и живыми конфигами не одному человеку поможет сконфигурировать сеть. Удачи !



Комментарии к этой страничке ( )
ссылка на эту страничку: http://www.vb-net.ru/router/ISA2006/index.htm
<На главную>  <В раздел ASP>  <В раздел NET>  <В раздел SQL>  <В раздел Разное>  <Написать автору>  < Поблагодарить>
Московская хельсинская группа   Радио Свобода  Новая газета   The New Times (Новое время)