www.hj8828.com 7

妙用DNS解析完毕防火墙客户的重定向

很多使用NAT软件的情况,往往是网关的外部网卡上获得了ISP的DNS服务器地址,并且可以进行解析,但是内部的客户想要解析DNS名字的话,方法只有两种:1、在内部客户机上设置DNS地址为外部ISP的dns服务器;2、在内部建立一个DNS服务器,内部客户使用这个内部的DNS服务器,然后内部的DNS服务器转发到外部ISP的DNS服务器上。从客户机的效率上来说,第一种方式要好;但是从可控性和扩展性,还有网络的效率来说,第二种方式要好,特别是对于采用了域的环境,必须采用第二种方式进行DNS的转发。
KWF自带有个DNS转发器,而且效率比Windows的DNS服务器要高,只是功能太过于单一,只能进行DNS的转发。ISA不带有DNS转发器,不过,利用Windows服务器版本中的全功能DNS服务器,可以很完美的实现内部的DNS服务器。

0x00. 为了測试基于HTTP隧道的绕过ISA,必须搭建模拟环境,为了不麻烦,我们这里不配合域环境认证.本次实验利用Vmware
10.0搭建好开发环境,实现ISA2006安装和部署,同一时候设定基于HTTP代理訪问的问题. 
本人在ISA的应用上也算是新手,查找了不少资料,有不正确的还望批评指正.

www.hj8828.com 1

接下来我们在客户机设定IE代理模式上网,打开IE,工具->Internet选项,切换到”链接”标签,设定如图08:

BlueEye内部有收发邮件的客户机均安装了防火墙客户端软件,使用Outlook
Express收发邮件,且总部指定其使用的POP3服务器为POP3.contoso.com,SMTP服务器为SMTP.contoso.com。Contoso公司另有一台SMTP2.contoso.com供另一家分公司使用。

需要注意的是,Web代理客户浏览Web是不需要配置DNS服务器的。因为Web代理客户在浏览Web
时是通过ISA 的Web 代理服务中转,不会直接访问DNS 服务的,只要ISA
服务器可以解析DNS 名字就行了。但是Web 代理客户其他的访问非Web
浏览的访问)如果是需要DNS解析的,不配置DNS服务器时就会导致失败。
而防火墙客户虽然默认也会配置为Web代理客户,但是防火墙客户端FWC)会直接把所有非本地的TCP/UDP
数据发往ISA Server,所以,不管你是否在本地配置了默认网关和DNS
服务器,FWC 总是会把数据发送给它所连接的ISA Server,所以,只要ISAServer
能够正确的解析DNS,那么防火墙客户就可以正常的解析DNS。

www.hj8828.com 2

CASE1:

www.hj8828.com 3

www.hj8828.com 4

上述两个CASE,没有用到什么高深的知识,只是通过思路的转变,就解决了两个比较棘手的问题。希望这篇文章能够给你提供一种新的解决问题的思路。

此时,使用ipconfig/all,没有显示出DNS服务器,ping
www.isaservercn.org显示无法解析;

加入完成,选择应用,,注意这个须要重新启动机器才干生效.
设置让客户机可以上网HTTP代理模式
相同如图6,加入一条规则,规则信息不一样而已:

原文:妙用DNS解析实现防火墙客户的重定向
返回网络安全首页

www.hj8828.com 5

最后提示是ISA拒绝訪问了,说明ISA起作用了.相同在客户机上也无法訪问.以下我们利用开启HTTP代理上网.

www.hj8828.com 6

但是通过我在连接里面设置代理服务器,如下图,又可以正常访问了;

參考文档:点击打开链接

公司内部网络采用单林单域模式,内部DNS名为contoso.com,在Internet上注册的域名亦为contoso.com。公司有50多台服务器,包括邮件服务器、数据库服务器、OA服务器、FTP服务器与Web服务器等,其中邮件服务器、OA服务器均为双网卡,而FTP服务器与Web服务器均只有外网卡,数据库服务器只有内网卡。有外网卡的服务器均直接与外线交换机相连,且在Internet上注册有合法的DNS名。

www.hj8828.com,1、客户机上没有设置DNS服务器,但是通过设置为Web代理客户,可以上网;
2、在ISA Server上建立一个内部的DNS服务器并进行配置;

0x01.各台机器配置:

该公司使用ISA 2004作为代理服务器。

下面,我以实例给大家来讲解,由于结构很简单,我没有就网络结构画图,客户机IP为192.168.0.41,网关(ISA
Server 2004英文版)的IP为192.168.0.1。此次试验的步骤如下:

www.hj8828.com 7

2、ISA判定访问此web站点不需要经过ISA Server;

但是可以ping通我的DNS服务器,这表明,网络连接是通的,只是DNS不能解析;

设定完就能够上网了(假设没有生效重新启动下ISA_Server吧,蛋疼.).这个就是基于ISA的HTTP代理上网,经常使用还有另外两种,基于防火墙的代理和SNAT代理.同一时候这些代理模式都支持各种认证,比方集成NTLM的认证和证书认证等等方法.这也是国外企业经常使用的一种安全模式。

分析:如果通知所有用户修改OE设置,等原先的SMTP服务器修复后还需要再更改回来,必定会造成用户的不满;同时,总部的
SMTP2.contoso.com服务器供另一家分公司使用,暂时不会考虑去ISP的DNS注册别名。那么如何才能够快速解决此问题呢?

www.hj8828.com 8

在Server机器上ping
192.168.2.99 ,是能够ping通的(关闭了客户机防火墙),在客户机ping
192.168.2.1,发现无法ping通,由于Server机器上安装了ISA起作用了,并且在安装ISA的时候已经停止了默认的防火墙.由于ISA默认配置的防火墙策略是禁止全部的网络通信,因此在Server机器上和客户机上都无法上网,在Server机器上訪问Robot’s
Blog(www.baidu.com),如图5:

3、客户端向内网DNS查询www.contoso.com的地址,内部DNS返回这台服务器的外网IP;

如图,客户机上没有设置DNS服务器,

0x03
基于HTTP代理上网
配置Server本机能够上网,加入规则,如图06:

(1)在BlueEye.com的内部DNS上新建一个主区域(不需要选择与AD集成),命名为contoso.com

www.hj8828.com 9

搭建好开发环境说明:
  Vmware Workstation
10.0
  Window 2003 (
ISA_SERVER)
  Window 2003 (客户机)

在ISA
Server上对*.contoso.com进行Bypass,然后在内部DNS为ftp.contoso.com和www.contoso.com分别新建两条A纪录,指向各自的外网IP。

Web浏览自然是不行的了

  • 客户机设定]
    单网卡,採用Host-only 
    静态IP:192.168.2.5
    /24 ,网关192.168.2.1

1、用户通过IE访问www.contoso.com,通过防火墙客户端向ISA
Server发送请求,要求进行解析;