[решено] Прокси на TMG2010 и доступ к серверам с публичным ip?

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- ISA Server / Microsoft Forefront TMG (http://forum.oszone.net/forumdisplay.php?f=98)

Прокси на TMG2010 и доступ к серверам с публичным ip?

Доброго времени суток.

Честно говоря не знаю как точно описать проблему, но попробую.

Есть веб-сервер, есть набор публичных адресов, один из которых прописан на сетевом интерфейсе сервера.

Проблема в следующем: при обращении из интернета всем компам, которые обращаются к веб-серверу, присваивается один адрес, который прописан вторым ip на внутреннем интерфейсе тмг и аналогично из внутренней сети предприятия, следовательно не работают голосовалки на сайте и ещё что-то – во общем админ сайта говорит, что это не нормально. Вот пока так описал проблему.

Что есть:
TMG2010 в домене с двумя сетевыми интерфейсами: внешний с ip 213.142.200.xxx и внутренний с двумя ip 172.21.11.230(основной) и 213.142.201.5
Веб-сервер с ip 213.142.201.40
Внешний DNS-сервер с ip 213.142.201.65

Все сервера с публичными адресами находятся за тмг и отнесены к внутренней сети. Пункт сеть -> вкладка «Сети» -> Внутренняя прописано два диапазона 172.16.0.0-172.31.255.255 и 213.142.201.0-213.142.201.255 В следующей вкладке «Сетевые правила», под №4 создано отношение типа маршрут: от 213.142.201.40 -> внешняя. Под №3 правило для НАТ только для впн и подсети local (172.16.0.0/12) вместо Внутренняя.

П.С. Вот пока так описал проблему, если что нужно уточнить говорите, попробую понять.

С уважением.

Сайт внешний и Вами не контролируется?

Нет, сервер у нас стоит, следовательно сайт управляется нашим админом.

Ерунда у вас получается.

внешний должен быть снаружи а внутренний внутри.
Если на сайте что то не работает включайте просмотр лога и в онлайне смотрите что блокируется.

Доброго времени суток.

Наверное не точно описал :)

Есть несколько веб-серверов у которых на единственной сетевой прописаны два ip: внутренний и публичный (адрес из подсети выданной провайдером.) Сервера стоят у нас в серверной. Создано сетевое правило отношение маршрут от этих серверов (созданы объекты компьютер с публичным ip) во внешнюю. Так же созданы по два правила для каждого сервера в межсетевом экране: от сервера во внешку весь трафик и второе правило из внешки к соответствующему серверу определённые протоколы. Всё, данные проходят, пробок нет.

Диапазон публичных адресов пришлось указать во внутренней сети, так как в противном случае тмг отшивал все протоколы от этих серверов мотивируя это тем, что адрес не принадлежит внутренней сети а сервера должны быть за экраном. Схема тмг - пограничный сервер у которого одна сетевая (у неё тоже прописан публичный адрес, но он отличный от подсети выданной для серверов провайдером, см. первый пост) смотрит во внешний мир, а другая во внутреннюю сеть. Почему так было сделано - не знаю, наверное из-за того что раньше фаерволом была система на линуксе или предполагалось в будущем сделать что-то типа DMZ.

С уважением.

внутренняя зона должна быть организована как DMZ тогда тмг начнет по человечески понимать что от него хотят.

доступен еще вариант
вы можете настроить разрешение имен.
что бы внутренние клиенты разрешали имена с внутренними адресами.

Цитата:

Цитата Brat_ES

Диапазон публичных адресов пришлось указать во внутренней сети, так как в противном случае тмг отшивал все протоколы от этих серверов мотивируя это тем, что адрес не принадлежит внутренней сети а сервера должны быть за экраном. Схема тмг - пограничный сервер у которого одна сетевая (у неё тоже прописан публичный адрес, но он отличный от подсети выданной для серверов провайдером, см. первый пост) смотрит во внешний мир, а другая во внутреннюю сеть. Почему так было сделано - не знаю, наверное из-за того что раньше фаерволом была система на линуксе или предполагалось в будущем сделать что-то типа DMZ. »

я даже не знаю что сказать..

Цитата:

Цитата Brat_ES

Проблема в следующем: при обращении из интернета всем компам, которые обращаются к веб-серверу, присваивается один адрес, который прописан вторым ip на внутреннем интерфейсе тмг и аналогично из внутренней сети предприятия, следовательно не работают голосовалки на сайте и ещё что-то – во общем админ сайта говорит, что это не нормально. Вот пока так описал проблему.
Что есть:
TMG2010 в домене с двумя сетевыми интерфейсами: внешний с ip 213.142.200.xxx и внутренний с двумя ip 172.21.11.230(основной) и 213.142.201.5
Веб-сервер с ip 213.142.201.40
Внешний DNS-сервер с ip 213.142.201.65
Все сервера с публичными адресами находятся за тмг и отнесены к внутренней сети. Пункт сеть -> вкладка «Сети» -> Внутренняя прописано два диапазона 172.16.0.0-172.31.255.255 и 213.142.201.0-213.142.201.255 В следующей вкладке «Сетевые правила», под №4 создано отношение типа маршрут: от 213.142.201.40 -> внешняя. Под №3 правило для НАТ только для впн и подсети local (172.16.0.0/12) вместо Внутренняя. »

это вообще феерия.

проблема в том, что не крутятся счётчики? дык компы то за натом, конечно у них один адрес.

Цитата:

Цитата Brat_ES

во общем админ сайта говорит, что это не нормально. »

пусть выучит слово nat-pool, точнее значение.
фильтровать уников по IP - это феерия из разряда выше.

Доброго времени суток.

Во общем, проблема решилась отключением в протоколе HTTP для правила доступа к веб-серверу из вне привязки к "Фильтру Веб-прокси", правда он отключился и во всех остальных правилах где задействован протокол http. Не знаю, правильно это иль нет, но зато и бухгалтерские проги заработали как надо (Сбис++ и т.п.) и авторизация через прокси продолжает работать как надо, в целом проблема решена.

Как я понял - в данный момент система работает, но не совсем правильно с точки зрения организации структуры сети и по всей видимости нужно думать в будущем о развёртывании DMZ и переноса всех серверов с публичными адресами в эту зону?

С уважением.

Обновлено: Во общем снова включил фильтр веб-прокси в протоколе http, но убрал протокол http в правилах для доступа к серверам, но заменил его на вновь созданный tcp:80 аналогичный http, но отключил конкретно к tcp:80 привязку фильтра веб-прокси. Полёт нормальный.