network rules

[shahramshahrami]

درود بر شما
خط اینترنت به محل کار ما با استفاده از اتصال وی پی ان و با استفاده از یک دستگاه fortigate منتقل می شود و سپس برای تغذیه شبکه داخلی به یک سوئیچ 3750 متصل می شود. حالا ما می خواهیم آیزا را در مسیر این خط اینترنت قرار دهیم.
من خط خروجی از فورتی گیت را می گیرم و به یه کامپیوتر با دو تا کارت با مشخصات ذیل وصل می کنم
کارت سمت فورتی گیت: 10.8.8.3/24 و DG:10.8.8.2
کارت سمت کلاینت: 192.165.95.3/24

حال برای آزمایش کارت سمت کلاینت را با یه کابل کراس به یه کامپیوتر وصل می کنم با مشخصات ذیل:
192.168.95.4/24 و DG:192.168.95.3
این نکته حائز اهمیت است که حتما source IP ما جهت ارسال به سمت سرور اصلی باید در رنج192.168.95 باشد.
حالا کلاینت توسط آیزا authenticate میشه ولی هیچ صفحه ای دیده نمیشه؟! البته network rule رو هم روی route
موقع لاگ خطای dns رو می بینم ولی dns روی دی ان اس های داخلی درست ست شده.

اگه امکان داره و سرتون درد نگرفته یه راهنمایی بکنید برا حل مسئله

---

موضوعات مشابه:

• Configure ISA Server bandwidth rules
• RD Gateway deployment in a perimeter network & Firewall rules
• Configuring simple bandwidth- 4 rules
• VUE Rules for iranian
• firewall rules

---

[M-r-r]

یه nslookup بگیر روی کلاینت ببین چی میده، همینطور ping .

من متوجه نشدم برای چی میخواین از آیزا استفاده کنید ؟

[shahramshahrami]

ممنون از شما
ما پشت ایزا با پینگ و تریس مشکل داریم کلا هر چند پورتا باز هستن. چرا می خواهیم ایزا نصب کنیم چون از طریق اون می خواهیم یه سری محدویدت های دسترسی ایجاد کنیم.
به نظر شما این یه روتینگ ساده نیس که با تعریف network rule باید راحت انجام بشه؟

[M-r-r]

محدودیت هایی که میخواین اعمال کنین رو بفرمایین، شاید بشه راه حل های ساده تری استفاده کرد .

در خصوص تعریف Rule ،
آیا خود آیزا میتونه اون صفحات وب رو باز کنه ؟ در اینصورت فکر میکنم باید یک NAT Rule تعریف کنید نه Route

[shahramshahrami]

محدودیت ها شامل میزان ساعات استفاده از اینترنت، محدودیت حجمی، محدودیت پهنای باند، فیلترینگ، گزارش گیری
خیر خود ایزا نمیتونه چون همانطور که در پست قبلی گفتم source ip address ما بایستی در رنج 192.168.95 باشه و NATTING ما رو یه سرور دیگه اونطرفه fortigate دوم انجام میشه.
البته وقتی از پورت اینترنال fortigate خروجی میگیریم و مستقیم میدیم به یه کامپیوتر و البته با همون رنج آی پی که گفتم اینترنت داریم ولی همچین که اون از توی دو تا کارت رو ایزا رد میکنیم مشکل میشه!!!

[M-r-r]

خوب، مشکل شما همینجاست،
روی کارت شبکه ای از آیزا که متصل میشه به اون fortigate و میره به سمت اینترنت، IP ای تنظیم کنید که خود آیزا بتونه اینترنت داشته باشه . پس از اینکار، کافیه کلاینت هایی که میخواین رو (IP کلاینت ها) NAT کنید روی این کارت شبکه (یا این IP Address )