Proxy do Forefront TMG bloqueando solicitações HTTP internas para FQDN

1

Eu tenho o Forefront TMG instalado como um servidor proxy. No entanto, sempre que eu faço solicitações HTTP para servidores na rede interna com um nome DNS totalmente qualificado, o proxy nega a conexão.

Denied Connection FRW-02 18/03/2011 20:06:37 
Log type: Web Proxy (Forward) 
Status: 12202 Forefront TMG denied the specified Uniform Resource Locator (URL).  
Rule: Default rule 
Source: Internal (10.50.75.21:21492) 
Destination: Internal (10.50.75.10:8080) 
Request: GET http://app-01.mydomain.com.br:9871/internalwebserver_deploy/MyServiceService.svc?wsdl 
Filter information: Req ID: 0a157279; Compression: client=No, server=No, compress rate=0% decompress rate=0% 
Protocol: http 
User: anonymous 

Como posso contornar este bloqueio? Esta é uma chamada interna, por isso não deve bloqueá-lo.

Se eu usar apenas http://app-01:9871/internalwebserver_deploy/MyServiceService.svc?wsdl , sem o domínio após o nome do servidor, ele não será bloqueado.

10.50.75.10 é o ip do firewall e o gateway da rede interna.

    
por Pascal 19.03.2011 / 00:18

1 resposta

4

O problema é duplo:

  • seu navegador está enviando uma solicitação interna para a TMG em primeiro lugar e
  • A TMG está impedindo um possível ataque de reflexão (ou, pelo menos, não tem regras para permitir isso)

Dependendo de como seu navegador é configurado, a melhor solução de uma perspectiva de ciclos de desperdício mínimo é fornecer informações que não encaminham solicitações para * .yourinternaldomain.com para o servidor proxy. {Evitando o proxy} bate {perguntando ao proxy por algo que você poderia ter diretamente}.

Os arquivos WPAD (AutoDiscovery) e PAC são métodos comuns para fazer isso, e o TMG permite especificar essas exclusões no objeto Rede interna em Redes - , desde que o cliente esteja usando a Detecção automática na caixa TMG .

Se o cliente não for , você precisará modificar seu arquivo PAC ou apenas definir uma exclusão de proxy ("Ignorar proxy para esses endereços") para apenas seu nome de host.seu_dominiointernet.com, ou apenas * .yourinternaldomain.com se você não estiver usando um sistema DNS dividido.

Apenas como um aparte - da última vez que eu olhei, o TMG essencialmente executa correspondências de strings ao invés de resolução de nomes em seu script de autodetecção por padrão, então se você lida com IPs nus e nomes de domínio interno, pode precisar especificar intervalos de rede e padrões de host (* .internal.dom).

Sua outra opção é criar uma regra no TMG para permitir Internal to Internal (que é o que a maioria das pessoas faz - em vez disso, a solução de privilégio mínimo seria permitir somente HTTP de Internal para esse específico host), mas isso não resolve o problema do navegador falar com o TMG em todos os em primeiro lugar - o navegador não deveria estar enviando solicitações internas para o proxy ; esse é o melhor problema para corrigir.

    
por 19.03.2011 / 07:33