PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Arch hinter dem MS ISA-Server



nathanhi
19.11.2008, 17:43
Hallo,

ich habe einen Server von mir in die Schule gestellt, und hoste da ein Klassenforum drauf. (http://1chdv.ath.cx) Das Problem ist, dass unsere Schule einen ISA-Server verwendet, und ich aber vom Server aus Dateien runterladen können muss. Also z.B. mit pacman ein Update machen, oder einen IRC-Bouncer, etc. darauf laufen lassen, usw. Leider geht das nicht, weil der MS ISA-Server die Linux-Clients blockt. Habe da jetzt was von NTLM erfahren, das will aber auch nicht funktionieren. Kann ich irgendwo einen SOCKS-Server eintragen (/etc/profile ?), oder irgendwie sonst zum Zugriff auf das Internet kommen. Habe dem Schuladmin schon zu einer Linux Firewall geraten, aber der bleibt Stahlhart bei Microsoft.. Ich hoffe, ihr könnt mir helfen!

Grüsse,
Nathan

Adminedit: Thementitel durch Admin angepasst

marce
19.11.2008, 20:18
Powered by SMF 1.1.6
Du solltest die Version aktualisieren...

nathanhi
19.11.2008, 21:43
Wenn ich denn mal was uppen könnte... Geht ja nicht, blockiert der ISA-Server >_<

Grüsse,
Nathan

marce
20.11.2008, 06:42
Sehe ich das richtig? Die Kiste ist aus den Netz erreichbar - kann aber selbst nicht in's Netz?

Dann wende Dich an den Firewall-Admin. Alles andere ist Bastelei und Frickelkram.

Andre
20.11.2008, 07:34
Guten Morgen,

bitte zukünftig auf solche unnötigen Worthülsen wie "M$ ISA-Schrott " verzichten!
Darunter leidet die Sachlichkeit einer Diskussion und verleitet die Benutzer zu unsachgemäßen Argumentationen.

Bei Fragen PN an mich.

Gruß

nathanhi
20.11.2008, 20:51
Guten Morgen,

bitte zukünftig auf solche unnötigen Worthülsen wie "M$ ISA-Schrott " verzichten!
Darunter leidet die Sachlichkeit einer Diskussion und verleitet die Benutzer zu unsachgemäßen Argumentationen.

Bei Fragen PN an mich.

Gruß

Hi, alles klar, aber dass es schrott ist, kann man ja nicht leugnen, oder? :D

@marce: Ich kenne den Admin, habe mit ihm auch Kontakt, aber der weiss selber nicht weiter..

Grüsse,
Nathan

marce
20.11.2008, 20:58
Hi, alles klar, aber dass es schrott ist, kann man ja nicht leugnen, oder? :D
doch, kann man.


@marce: Ich kenne den Admin, habe mit ihm auch Kontakt, aber der weiss selber nicht weiter..
... und wir sollen hier, ohne irgendwelche Konfig zu kennen die recht komplexe und vielfältige Firewall und Auth-Methoden "debuggen"?

Wenn nicht er - dann keiner. Evtl. hilft ja noch ein ein Supportcall bei MS...

saeckereier
21.11.2008, 00:25
Die ISA Server nutzen in der Regel NTLM Authentifizierung mit HTTP Basic fallback. Also sollte es reichen deinem Client Basic authentication für den Proxy einzustellen. Ansonsten gibts noch lokale Proxys, die die NTLM Auth für dich übernehmen, aber da hab ich keine guten Erfahrungen mit. Hinter einem ISA ist man einfach gekniffen.

nathanhi
21.11.2008, 20:37
doch, kann man.


... und wir sollen hier, ohne irgendwelche Konfig zu kennen die recht komplexe und vielfältige Firewall und Auth-Methoden "debuggen"?

Wenn nicht er - dann keiner. Evtl. hilft ja noch ein ein Supportcall bei MS...

Sag mir, was du von der config wissen musst, und ich sags dir ;) Das Teil ist jedenfalls in der DMZ und darf laut ISA alles..

EDIT: Der Supportcall, den man mal so ganz eben machen wird, kostet dir locker 200$, ich glaube das war aber nur für ne Stunde, ich kann die Seite ja nochmal rauskramen..
299,00 € zzgl. MwSt. pro Anfrage während der Geschäftszeiten, oder Sie können einen vorhandenen Support-Vertrag verwenden. (Informationen zur MwSt. finden Sie hier). - http://support.microsoft.com/oas/default.aspx?ln=de&prid=10409&gprid=455442

Ach, jetzt möchte ich gerne noch mal die Vorteile vom ISA Server gegenüber einer Linux-Firewall-Lösung hören. ==D

@saeckereier: Du meinst, dass ich einfach den ISA als Proxy eintragen soll und halt den Port? Für gewöhnlich macht man das aber per SOCKS, und ich müsste dazu halt wissen, wie ich mit Arch über SOCKS ins Internet kann.

Grüsse,
Nathan

saeckereier
21.11.2008, 20:49
Also ich kenn den ISA als HTTP Proxy. Wenn er Socks kann, kann ich trotzdem nichts dazu sagen. Als normalen HTTP Proxy sollte man ihn aber ansprechen können und das reicht für Pacman und ähnliches aus.

nathanhi
21.11.2008, 20:54
Hm, sehr verdächtig.. Ich habe jetzt mal den Proxy in die /etc/profile eingetragen und danach natürlich . /etc/profile gemacht. Jedoch tut pacman keinen Mucks beim saugen. Die IP wird aber schön ordentlich aufgelöst?!

Grüsse,
Nathan

saeckereier
21.11.2008, 20:59
Die IP macht der DNS, das ist Proxy unabhängig. Zuerst solltest du es mal mit einem normalen Webbrowser versuchen (wenn nur Konsole -> links ) und dort im Menü den Proxy einstellen und prüfen, ob Benutzername und Kennwort abgefragt werden, bzw. vorher einmal mittels telnet <proxyIp> <port> prüfen, ob die Daten stimmen und der Proxy erreicht wird.

marce
21.11.2008, 21:03
Ach, jetzt möchte ich gerne noch mal die Vorteile vom ISA Server gegenüber einer Linux-Firewall-Lösung hören. ==D

erwartest Du ernsthaft, daß ich auf einen solchen Kommentar antworte?

Anders gefragt: welche Erfahrungen hast Du denn mit dem MS-Support?

saeckereier
21.11.2008, 21:11
Welche Erfahrungen hast du denn mit dem Squid Support? Außerdem hat man ab einer bestimmten Firmengröße einen M$-Support-Plan oder ohnehin eine derartig flexible Netzstruktur, dass der entsprechende Server direkt genattet wird o.ä.

nathanhi
21.11.2008, 21:12
Garkeine, sehe ich so aus, als wäre ich ernsthaft nen Benutzer von Microsoft-Produkten? ._.

@saeckereier: Die IP vom Proxy stimmt, Userdaten werden nur bei SOCKS verlangt, und der Port ist auch OK, war grade per VPN drinnen.

Sehr komische Sache irgendwie.

Grüsse,
Nathan

saeckereier
21.11.2008, 21:13
Und was passiert wenn du es mit einem Browser testest? Probier zum Beispiel mal mittels SSH eine Portweiterleitung und dann mittels lokalem Browser den Proxy anzusprechen. Socks und HTTP Proxy sind unterschiedliche Ports. SOCKS wird glaube ich eher nicht von den Standard Tools unterstützt, aber das ist ein Gefühl, das weiss ich net..

nathanhi
21.11.2008, 21:19
Portweiterleitung kann ich hier leider keine machen. Es sind vom Admin aus nur 3 Ports freigegeben. Muss mich demnach für SSH immer per VPN zur Schule verbinden, um dann per SSH drauf zu kommen. Wenn ich den Proxy im Browser bei http eintrage, rennt alles 1a. Pacman liefert mir das da:



[root@nathanhi src]# pacman -Syu
:: Synchronisiere Paketdatenbanken...
Fehler: Konnte Datei 'core.db.tar.gz' nicht von archlinux.unixheads.org übertragen : Die Wartezeit für die Verbindung ist abgelaufen
Fehler: Konnte core nicht aktualisieren (Die Wartezeit für die Verbindung ist abgelaufen)

marce
21.11.2008, 21:24
http://www.archlinux.org/pipermail/arch/2004-October/002649.html
http://bbs.archlinux.org/viewtopic.php?id=25632

ist zwar schon älter, könnte aber helfen...

saeckereier
21.11.2008, 21:30
^^
klingt gut.. Also interessant wäre noch während der pacman läuft mal mit netstat -apn zu checken, wohin sich pacman verbindet, ob zum Proxy oder ob es die Einstellung ignoriert.

nathanhi
21.11.2008, 21:32
Ne, geht offensichtlich auch nicht.

Fehler: Konfigurations-Datei /etc/pacman.conf, Zeile 19: Direktive 'ProxyServer' wurde nicht erkannt.

Das mit NTLMS hab ich schon vorher mal probiert, kanns ja nochmal testen.

Grüsse,
Nathan

marce
21.11.2008, 21:37
hast Du in der pacman.conf auch schon mal XferCommand entsprechend gesetzt?

http://www.archlinux.org/pacman/pacman.conf.5.html

saeckereier
21.11.2008, 21:47
Wenn es mit dem Browser ohne Kennwort und normalem HTTP Proxy geht, dann muss das auch so mit Pacman laufen, aber ich hab echt keine Lust das jetzt nachzuschauen, mir reicht's das bei meiner eigenen Distributin zu wissen. Evtl. mal die Umgebungsvariable HTTP_PROXY="http://proxy:proxyport" auf Verdacht vorher setzen

nathanhi
21.11.2008, 22:13
Ach und zu NTLMAPS:

[root@nathanhi ~]# pacman -Syu
:: Synchronisiere Paketdatenbanken...
--2008-11-21 22:55:39-- http://archlinux.unixheads.org/core/os/i686/core.db.tar.gz
Verbindungsaufbau zu 127.0.0.1:1337... verbunden.
Proxy Anforderung gesendet, warte auf Antwort... Keine Daten empfangen.
Erneuter Versuch.


Auch unverständlich irgendwie..

Grüsse,
Nathan