proxy reverso TMG e configuração básica

1

Recentemente, configurei o TMG2010 e acredito que fiz algo errado com minha configuração. Eu não quero executar qualquer coisa extra além de uma configuração de publicação / proxy reverso da web.

Minha Internet vai para um ASA, é a porta natting 80 da estática externa para 10.1.20.5 (a máquina TMG - da rede dmz 10.1.20.0 na asa) a máquina TMG tem um segundo nic (10.1.10). x com o gateway 10.1.10.1) para conexão interna com servidores da web.

Qual é a maneira mais simples de ter certeza de que os grupos de rede internos / externos estão configurados corretamente (que acho que é meu problema atual), verifico que meu ouvinte da Web está funcionando corretamente e publique vários sites em IPs diferentes.

Eu vi alguns guias sobre como configurar o encaminhamento da web, mas todos eles pressupõem que os grupos de rede estão configurados corretamente. O meu definitivamente não parece ser assim.

Eu mudei a rede interna para 10.1.10.0-10.1.10.255, a rede externa parece ser inconfigurável, e não tenho certeza se preciso de outras.

Obrigado!

Estes são os intervalos que obtenho quando tento adicionar o adaptador 'interno' ao grupo de rede 'interno':

0.0.0.1 - 10.1.19.255

10.1.21.0 - 126.255.255.255

128.0.0.0 - 223.255.255.255

240.0.0.0 - 255.525.255.254

Quando eu adiciono o adaptador DMZ, recebo os mesmos primeiro, terceiro e quarto grupos, mas o segundo grupo é:

10.1.11.0 - 126.255.255.255

Sinto que estes não devem ser os endereços no grupo de rede "Interno". Não há nenhum listado em "Host local" "Quarentena" ou "Clientes VPN"

    
por Abraxas 12.09.2014 / 00:13

1 resposta

1

Com base no que eu li, você deve continuar seu caminho atual.

Uma coisa que é muito importante se você estiver usando um TMG dual homed é usar as opções "change source IP" em suas regras de publicação. Sem isso, você terá seu tráfego encaminhado de volta para o dispositivo Cisco e, provavelmente, descartado, já que não tem uma conexão estabelecida. Isso me mordeu em mais configurações do que eu gostaria de admitir.

Ao usar o TMG estritamente como um proxy reverso, sugiro que você vá com uma única configuração de interface de rede, conforme descrito aqui . Acho essa configuração muito mais fácil de gerenciar.

Tudo isso dito, tenha cuidado ao usar o Forefront. O suporte principal termina no início de 2015 e as assinaturas de detecção de intrusão vão se tornar inúteis. Embora você só queira um proxy reverso agora, isso será verdade em um ano? Ou dois?

    
por 12.09.2014 / 23:08