Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss

Estendere SSL Tunnel Port Range

13 views
Skip to first unread message

BOB

unread,
Mar 9, 2010, 10:45:07 AM3/9/10
to
Un saluto a tutti,
un paio di utenti della rete aziendale mi dicono che, sempre più spesso
navigando, succede che appaia questo messaggio:
=======================================================================
Network Access Message: The page cannot be displayed

Technical Information (for Support personnel)
• Error Code: 502 Proxy Error. The specified Secure Sockets Layer (SSL)
port is not allowed. ISA Server is not configured to allow SSL requests
from this port. Most Web browsers use port 443 for SSL requests.
(12204)
• IP Address: 192.168.1.186
• Date: 09/03/2010 11.24.49
• Server: svXX-dc.sede.sbs
• Source: proxy
=======================================================================

Premesso che non sono per niente esperto di Isa, ho capito si tratta di
un problema sul tunneling della porta SSL 443. Evidentemente ci sono
siti che usano in SSL altre porte. Avrei bisogno quindi di estendere il
tunneling su più porte. Facile da dire ma meno da realizzare....

Ho visto che una possibile soluzione è indicata qui con scarico di una
interfaccina GUI o di uno script
Extending the ISA Firewall’s SSL Tunnel Port Range (2004)
and download the tools from here :
GUI : http://www.isatools.org/tools/ISAtrpe.zip
or the script : http://www.isatools.org/tools/isa_tpr.js

Come faccio a sapere quali porte SSL diverse dalla 443 vengono
utilizzate durante le connessioni dei miei utenti?
Poi non ho ben capito come inserire queste porte (visto che debbo dare
un range...) e come si fa? sia con il programma e ancor peggio con lo
script.? Qualcuno di voi ha già avuto questo problema e mi può indicare
meglio cosa fare?

Grazie


IsaCab

unread,
Mar 12, 2010, 3:52:44 AM3/12/10
to

Ciao,

qui trovi lo script e le note su cme usarlo.

http://www.isaserver.it/forum/topic.asp?TOPIC_ID=1439

Per le porte o via log (monitor->logging) op. ti fai prepare un
elenco dei siti necessari e relative porte direttamente dagli utenti
che ne necessitano.

Ciao Giulio

BOB

unread,
Mar 12, 2010, 11:48:28 AM3/12/10
to
Nel suo scritto precedente, IsaCab ha sostenuto :

Allora per la gestione delle porte ho visto che è molto più comodo
(almeno per me che ho pochissima esperienza..) il programmino GUI
ISAtrpe.
Ma non ho capito alcune cose e ti chiedo se puoi darmi qualche dritta:
1) dove viene scritta questa impostazione di nuove porte?
Per esempio adesso che non ho fatto ancora nienete, il programmino mi
fa vedere 2 profili che sono già dentro uno si chiama SSL e ha la porta
443/443 e uno NNTP con porta 563/563 (le porte vengono indicate come
range)
2) sembrerebbe quindi che l'interfaccia di gestione di ISA non ha abbia
la possibilità di gestire l'inserimento di altre porte, dico bene?

3) scusa la domanda forse banale ma come fa il mio utente a vedere la
porta usata in ssl dal browser quando si collega ad un certo sito?
Io per esempio ho provato con il sito CartaSì ma non riesco a capire
che porta viene usata quando si è in SSL.

Grazie ancora

Grazie


IsaCab

unread,
Mar 12, 2010, 1:41:00 PM3/12/10
to
On 12 Mar, 17:48, BOB <as...@tin.it> wrote:

> 1) dove viene scritta questa impostazione di nuove porte?

Posso solo dirti che non le salva nel registro di sistema

> Per esempio adesso che non ho fatto ancora nienete, il programmino mi
> fa vedere 2 profili che sono già dentro uno si chiama SSL e ha la porta
> 443/443 e uno NNTP con porta 563/563 (le porte vengono indicate come
> range)

Ed sono le porte standard


> 2) sembrerebbe quindi che l'interfaccia di gestione di ISA non ha abbia
> la possibilità di gestire l'inserimento di altre porte, dico bene?
>

Esatto, puoi farlo solo via script

> 3) scusa la domanda forse banale ma come fa il mio utente a vedere la
> porta usata in ssl dal browser quando si collega ad un certo sito?
> Io per esempio ho provato con il sito CartaSì ma non riesco a capire
> che porta viene usata quando si è in SSL.
>

Normalmente la porta è la standard. Quancuno la cambia (a capire
perchè ??) ed in questo caso sei obbligato a specificarla nella URL.

Se non la devi specificare, vuol dire che il server remoto è in
ascolto sulla standard e poi opera un redirect (non sempre visibile)
su una porta non standard.

In questo caso puoi vederlo solo dai log.


> Grazie ancora

Figurati è sempre un piacere.

Ciao Giulio

BOB

unread,
Mar 12, 2010, 5:31:19 PM3/12/10
to
IsaCab ha spiegato il 12/03/2010 :
Per vedere la porta usata ho visto che si può usare un programma
(currports della nirsoft, al posto del comando netstat)....
Per il resto grazie ancora...


Edoardo Benussi [MVP]

unread,
Mar 16, 2010, 7:11:23 AM3/16/10
to

"IsaCab" <g.l...@email.it> ha scritto nel messaggio
news:99682b20-b6a5-4156...@e7g2000yqf.googlegroups.com...

> On 12 Mar, 17:48, BOB <as...@tin.it> wrote:
>
>> 1) dove viene scritta questa impostazione di nuove porte?
>
> Posso solo dirti che non le salva nel registro di sistema

di quale sistema ?
a me risulta che sono scritte nel registro dell'isa server.


--
Edoardo Benussi - e...@mvps.org
Microsoft® MVP - Most Valuable Professional
Management Infrastructure - Systems Administration
https://mvp.support.microsoft.com/Profile/Benussi

IsaCab

unread,
Mar 17, 2010, 6:39:04 AM3/17/10
to
On 16 Mar, 12:11, "Edoardo Benussi [MVP]" <edoardo.benussi...@tin.it>
wrote:
> "IsaCab" <g.li...@email.it> ha scritto nel messaggionews:99682b20-b6a5-4156...@e7g2000yqf.googlegroups.com...

Ciao,

vero scusa.

Le porte sono scritte nel registro di sistema (OS) e si chiamano :

msFPCName = SSL
msFPCTunnelHighPort = 1bb (443) (default)
msFPCTunnelLowPort = 1bb (443) (default)

Ciao Giulio

0 new messages