ISA+花生壳发布WEB+Mail+FTP服务器到Internet(单网卡部署WEB+Mail+FTP+ISA服务之终结
在我的上一篇博文中( http://newthink.blog.51cto.com/872263/196413 ) 发布的服务器没有任何保护,实际上在裸奔。这一次我们用岳雷老师讲的在单网卡下通过安装一个虚拟的loopback(环回网卡)网卡来实现双网卡(相关部分请查看岳雷老师的力作: 让你的Web服务器不再裸奔:ISA2006系列之十二),从而满足ISA的防火墙安装要求,利用ISA的强大的安全保护来为裸奔的服务器加上一块遮羞布,本篇博文其实是对岳雷老师的“ 让你的Web服务器不再裸奔:ISA2006系列之十二”的一个实例,为一些仅有一台电脑、单网卡而又要发布有安全保护的多个服务的朋友提供一个参考。
一、
目的:在共享上网、单网卡环境下利用花生壳软件和ISA发布WEB+Mail+FTP服务器到Internet,实现网络知识学习大练兵。
二、
网络环境:
三、准备工作
1、安装环回网卡并设置IP及子网掩码。(具体步骤请安照岳雷老师的力作: 让你的Web服务器不再裸奔:ISA2006系列之十二中的方法操作)
安装完后loopback网卡IP设为:10.1.1.250,子网掩码:255.255.255.0,设置后的截图如下:
物理网卡的设置如下:
2、配置好IIS中的FTP服务,WEB服务,以及在WEB服务中工作的winwebmail邮件服务。
FTP使用默认站点,匿名登陆,对根目录完全控制,设置如下图:
在IIS的网站中建一个WEB站点,用来发布一个网站,因WEB服务使用的80端口会和ISA的相冲突,而又准备使用ISA的端口重定向来发布WEB站点,所以这里Web站点服务使用81端口。另外IP地址不用设置,或设为10.1.1.250,一会会在ISA中设置把192.168.0.250:80的请求转发到10.1.1.250:81上来,但高级中的主机头一定不要设置,因为ISA没有把主机头中的域名转发过来,若这里设置了主机头中的域名,会导致站点无法访问,如下图:
另外又建了一个WEB网站叫mail,用来发布winwebmail中的邮件服务,其设置相同,仅TCP端口改为82,如下图:
winwebmail的主目录及权限设置:
winwebmail需要Active Server Pages的支持:
3、安装花生壳软件,并申请几个域名,如下图,域名5151cto.gicp.net用于访问WEB网站用,ffttpp.xicp.net用于访问FTP使用(当然这三个域名都可以访问FTP),mymail.imbbs.in用于访问winwebmail的邮件服务用。
4、
设置路由器中的IP和端口映射及防火墙允许通过。因FTP使用21端口,WEB使用80端口,而我们用的是winwebmail可以通过网页来收发邮件,也是用的80端口,这里不考虑winwebmail客户端使用非网页方式。(比如设置SMTP使用的25端口和POP3使用的110端口。)
在路由器中设置了“虚拟服务器”后,在它的防火墙中自动的允许了虚拟服务器的IP及端口。
准备工作完成。
四、安装ISA2006标准版。
1、单击“安装ISA Server 2006”开始安装。
2、一路点击下一步,直到内部网络设置窗口,单击“添加”按钮。
3、在弹出的对话框中1处单击“添加适配器”,钩选2处的“虚拟网卡”(就是我们添加的LoopBack网卡),它的IP范围自动在下边详细信息中显示,单击3处“确定”后再单击地址窗口的“确定”。
4、这是选择的环回网卡的地址范围,如下图:
5、单击“下一步”,不要钩选“允许不加密的防火墙客户端连接”,再单击“下一步”、“下一步”,直到出现“安装”按钮单击,系统开始安装,等待一会安装完成。
五、
ISA2006的设置。
1.1、
建立允许花生壳登陆规则。在“防火墙策略”右侧的“工具箱”中,选新建→协议,如下图。
1.2、输入协议定义名称“允许花生壳登陆”,单击“下一步”。
1.3、在对话框中单击“新建”按钮,设置TCP,出站,6060到6060端口后,单击确定。
1.4、再次单击“新建”按钮,设置UDP,发送接收,6060到6060端口后,再单击确定按钮,再单击“下一步”(花生壳客户端和服务器端通信主要靠TCP和UDP协议的6060端口,但在获取用户域名列表时还要用到TCP的80端口)。
1.5、是否使用辅助连接,选择“否”,再单击“下一步”然后再单击“完成”按钮,完成新建协议。
1.6、在主界面上单击“应用”按钮,应用刚才建立的新协议。
1.7、应用后稍等一会再单击“确定”按钮。
1.9、对“防火墙”右键单击,选“新建→访问规则”进入规则创建向导。
1.10、在访问规则名称中输入“允许花生壳通过”(当然这个名字可随便输,只要能代表设置的意思就行了),单击“下一步”按钮。
1.11、规则操作选“允许”,再单击“下一步”按钮。
1.12、选择1处“所选的协议”,单击2处的“添加”按钮,在添加协议窗口中,对“用户定义”左侧的加号单击展开,选“允许花生壳登陆”,单击4处的“添加”按钮,然后单击“关闭”,在协议窗口中再单击“下一步”按钮。
1.13、在“访问规则源”单击1处“添加”在“添加网络实体”的“网络”中选2处“本地主机”,单击3处“添加”,再单击4处“关闭”,最后单击5处“下一步”按钮。
1.14、在访问规则目标中单击1处“添加”在“添加网络实体”的“计算机集”中选2处“任何地点”,单击3处“添加”,再单击4处“关闭”,最后单击5处“下一步”按钮。
1.15、用户集,使用默认“所有用户”,单击“下一步”按钮,最后单击“完成”按钮完成访问规则的创建。
1.16、在ISA的主界面中1处单击“应用”应用新建的规则,然后再单击2处“确定”按钮。这时花生壳解析已经生效,但读取域名列表信息失败,它还需要用到TCP的80端口,而我们的网页也要用TCP的80端口,正好,在下面一次性创建允许规则。
