O TMG 2010 não faz proxy para a mesma rede que o pedido

Navegue suas respostas
3

Eu tenho um problema em sites que são hospedados em um servidor web ( www.example.com ) não são acessíveis a partir de sua própria rede quando acessados através de seu endereço IP público, mas são acessíveis de todos os outros rede.

Esta é a configuração da rede:

EutenhoumamáquinaTMG2010SP1atrásdeumroteadorqueégerenciadoporoutrapessoa(queeunãotenhoacesso),eatrásdeesseroteadoréainternet.

Oroteadorde"rede externa" tem um NAT de 1: 1 para endereços IP apontando para endereços IP privados correspondentes na caixa TMG. O TMG Edge, em seguida, tem uma regra de proxy da Web que encaminha as solicitações (para www.example.com ) a um servidor da Web na Rede B.

Quando você tenta acessar www.example.com (que está hospedado na Rede B) por meio de seu endereço IP público, acontece o seguinte: 

Internet -  HTTP 200 OK
External -  HTTP 200 OK
Network A - HTTP 200 OK
Network B - Error Code 10060: Connection timeout
Network C - HTTP 200 OK

Eu vejo o tráfego atingir o firewall do TMG, mas ele parece se perder. Ele não encaminha o pacote para o external network (que, se o fizesse, enviaria diretamente de volta). O Wireshark mostra o pacote chegando na interface da Rede B, mas nunca deixa o TMG.

Após solicitar http://www.example.com/ , o log do firewall TMG mostra uma solicitação inicial de saída permitida, seguida de 60 segundos depois por:

  • Failed Connection Attempt
  • Source Network: Network B
  • Destination Network: External
  • URL: http://203.206.238.xxx (the public IP address, not the URL I actually requested)

Status: 10060 A connection attempt failed because the connected party did not properly respond after a period of time, or established connection failed because connected host has failed to respond.

Eu não tenho ideia de onde está o problema. Não sei se é porque, por algum motivo, ele está fazendo proxy no endereço IP público como a URL (há regras de proxy para o endereço IP, apenas para FQDNs) ou se for algo completamente diferente.

    
por Mark Henderson 30.09.2011 / 08:16

2 respostas

3

Tenho certeza de que isso tem a ver com a maneira como o TMG foi desenvolvido. De acordo com:

link

Bypassing Forefront TMG for firewall client requests

Microsoft Forefront Threat Management Gateway is designed to handle communications between different networks. Usually, clients on a specific network should not traverse Forefront TMG to reach hosts located in the same network. Instead, direct access should be used.

Direct access enables Firewall client computers to do the following: Bypass the Microsoft Firewall Client configuration and connect directly to resources. Make Web proxy requests that bypass the Web proxy filter.

This allows Firewall clients to access resources located in their local network without going through Forefront TMG and allows clients to make Web requests without going through Forefront TMG as a proxy.

Isso também cobre limitações significativas do TMG em uma 'configuração de adaptador único' que é semelhante a como o B se conectaria ao servidor da Web:

link

    
por 02.10.2011 / 18:06
0

Duas coisas vêm à mente:

  • A regra de publicação no TMG não consegue resolver o nome do servidor interno do servidor de hospedagem. Política de firewall > > Propriedades > > Para > > 2º campo de texto sobre o nome do computador ou o endereço IP.
  • O host da web espera o URL completo e não o nome interno (mesma localização, próxima caixa de seleção)

Alguma coisa nos registros do servidor da web?

    
por 30.09.2011 / 08:50

Tags

iSCSI SAN - gargalo do adaptador de rede Configurações do dispositivo raiz no EC2