Не работает телнет через isa

Добрый всем.
Имеем следующее:
-гейт в инет с 1внутренней картой и 1внешней с 3ip(194.145.12.2-(через него ходим в инет); 194.145.12.3(публикация и пр.); 194.145.12.4(публикация и пр.)). На нем:
-вин2000ас
-иса2000+сп2+фп1+кучка апдейтов...
-домен под в2к
Инет работает, почта ходит, т.е. все прекрасно.

Трабла в следующем:
Не работает телнет с внутренних машин ни на один НАШ внешний ИП. При этом телнет с клиентов на любой другой комп в инете идет преспокойно. Телнет с ИСЫ также на любой комп инета, в том числе и на НАШИ ВНЕШНИЕ IP - работает прекрасно!
В чем затык?

Встречный вопрос: работает ли телнет с любого невнутреннего компа на твои внешние IP?
Т.е. другими словами: уверен ли ты, что правильно опубликовал 23-ий(telnet) порт?

упс, не совсем правильно написал...
с внутренних компов не работает телнет на ЛЮБОЙ опубликованный порт(smtp, pop3, ssh), а не только на 23 порт.
С любых других ИП телнет идет, почта принимается, можно залезть по ссш на опубликованный сервант... В том числе с нашего внешнего(194.145.12.02) ИП.
ТЕ Иса не роутит пакеты приходящие из нашей сети на наши внешние IP...(как это может быть...???)

Ещё раз хочу спросить для уточнения.

Вы можете, к слову, посылать/получать почту указав в почтовом клиенте внешний IP вышего опубликованного сервера. Но запуская команду telnet IP 25 / telnet IP 110  получаете ошибку?

Что за ошибка? Что в это время пишут логи?

Если настраивать клиента на компе внутри сети, то почта не принимается.
При телнете, в терминале вылазит ошибка "Подключение к узлу утерянно".
Исовые логи, на этот счет, девственно чисты...

Как настроены клиенты ИСА(FWC/SNAT)?
Как прописаны правила Site&Content и Protocol Rules?

1. FWC
2. а) В "site&content rules" все разрешено(дефолтное правило);
б) Вот правила из "Protocol rules":
Allow Inet For All Array Allow DNS Query;Echo (TCP);Echo (UDP);HTTP;HTTPS;ICQ;ICQ 2000;IMAP4;POP3;POP3S;... Accounts: test\Account;test\Asu Always
Allow Inet For IT Array Allow All IP traffic Accounts: test\admin;test\IT Always
Allow Inet For Server Array Allow All IP traffic Client Sets: Servers sets Always
Allow Inet For Shareholders Array Allow All IP traffic Client Sets: Shareholders Sets Always
SNTP Array Allow NTP (UDP) Client Sets: SNTP Mail-Serv Always

Делаем так(хотябы временно):

FWC - в настройках пропиши IP адрес ИСА вручную
Site&Content - Правило "allow" на весь траффик всем
IP Packet Filters - Правило "allow" на весь траффик всем

Учти что правила запрета(deny) перекрывают правила разрешения(allow), т.е. для доступа не должно быть пересекающихся правил!!!

Проверяем LAT - Там должны быть указанны внутренние IP адреса

Перегружаем сервисы ИСА.

Проверяем работает ли почта(попробуй забрать почту не только со своего мейл сервака, а ещё и с какого нибудь общедоступного).

Пиши о результатах

1. прописан был и раньше
2. Стоит дефолтное правило(всем все разрешает)
3. Сделал правило:
Allow Telnet Connections Allow Custom filter External IP address - 194.145.12.3 Any Any Both;
4. В ЛАТе - диапазон адресов есть
5. С маил.ру почта собирается, с нашего сервака - нет...

Погоди... Давай еще раз с самого начала.
У тебя есть ИСА с адресами, например, 10.0.0.1 внутренний и 11.11.11.11 внешний. В твоей сети есть некий POP3-, SMTP-, SSH- и так далее сервер (допустим 10.0.0.2), сервисы которого опубликованы на внешнем интерфейсе ИСЫ (11.11.11.11). Внешние клиенты (из Интернета) нормально получают доступ с этим опубликованным сервисам. Но когда ты пытаешься с рабочей станции внутри сети (предположим 10.0.0.5) попасть на свой POP3 у тебя ничего не получается. Все так?
И главный вопрос - как ты пытаешься на него попасть? Вот так - telnet 10.0.0.2 110, или вот так - telnet 11.11.11.11 110 ?

Почти все верно...
Есть одна тонкость, которая, может быть, имеет значение:
внешних адресов у исы 2:
11.11.11.11 и 11.11.11.12 на 1 физическом адаптере.
Через первый - ходим в инет; Второй адрес - для публикаций.
Так вот, при "telnet 11.11.11.12 110" с любой офисной рабочей станции(10.0.0.5) - вылазит "Подключение к узлу утеряно".
Соответственно, при коннекте внешних клиентов (из инета), все нормально.
Также уточню: POP3 и SMTP - висят на MAIL-SERV(10.0.0.2); SSH и FTP - Висят на втором сервере ASU-SERV(10.0.0.3).

Попробовал у себя на одном из опубликованных сервисов, все строго алкоголично - варианты с доступом к опубликованному сервису изнутри не прокатывают. Видимо это фича, а не баг.
А чем не устраивает telnet 10.0.0.2 110 ?

Да, не то чтобы не устраивает...
Просто интересно разобраться...
Да и проверять паблишинг как-то надо.
ЗЫ. На 2004ИСЕ все прекрасно работало.

Advy
А чем не устраивает telnet 10.0.0.2 110 ?

Хотя бы тем что трафик проходящий через MS ISA можно контролировать, а обращение напрямую к 10.10.0.2 контролировать не получится. ...Хотя, всё равно в конечном итоге связь с "наружей" идёт черех MS ISA

з\ы - у меня сейчас настроено по принчипу 10.10.0.2, но буквально вчера/сегодня подумывал о том чтоб пустить всю почту сквозь MS ISA (т.е. втом числе и внутреннюю)

OKN wrote:

Advy А чем не устраивает telnet 10.0.0.2 110 ? Хотя бы тем что трафик проходящий через MS ISA можно контролировать, а обращение напрямую к 10.10.0.2 контролировать не получится.

Ну, у могих вышеописанных сервисов существуют собственные средства ограничения доступа - "вот с этих адресов пущаю, вот с этих не пущаю" и так далее. 
И, если удариться в "сферический конизм", имхо идеологически  правильнее все таки размещать их в DMZ, т.к. в случае компрометации хацкером опубликованного изнутри сервиса, он практически стопроцентно получит доступ ко всей остальной сети.

OKN wrote:

з\ы - у меня сейчас настроено по принчипу 10.10.0.2, но буквально вчера/сегодня подумывал о том чтоб пустить всю почту сквозь MS ISA (т.е. втом числе и внутреннюю)

Restrict же говорит, что на 2004 все работает...
Я и сам уже начинаю посматривать в ее сторону, но природная лень помноженная на "работает - не трожь".... ;)