|
|
|
|
| Компьютерный форум OSzone.net » Серверные продукты Microsoft » ISA Server / Microsoft Forefront TMG » [решено] Прокси на TMG2010 и доступ к серверам с публичным ip? |
|
|
[решено] Прокси на TMG2010 и доступ к серверам с публичным ip?
|
|
Пользователь Сообщения: 108 |
Доброго времени суток.
Честно говоря не знаю как точно описать проблему, но попробую. Есть веб-сервер, есть набор публичных адресов, один из которых прописан на сетевом интерфейсе сервера. Проблема в следующем: при обращении из интернета всем компам, которые обращаются к веб-серверу, присваивается один адрес, который прописан вторым ip на внутреннем интерфейсе тмг и аналогично из внутренней сети предприятия, следовательно не работают голосовалки на сайте и ещё что-то – во общем админ сайта говорит, что это не нормально. Вот пока так описал проблему. Что есть: TMG2010 в домене с двумя сетевыми интерфейсами: внешний с ip 213.142.200.xxx и внутренний с двумя ip 172.21.11.230(основной) и 213.142.201.5 Веб-сервер с ip 213.142.201.40 Внешний DNS-сервер с ip 213.142.201.65 Все сервера с публичными адресами находятся за тмг и отнесены к внутренней сети. Пункт сеть -> вкладка «Сети» -> Внутренняя прописано два диапазона 172.16.0.0-172.31.255.255 и 213.142.201.0-213.142.201.255 В следующей вкладке «Сетевые правила», под №4 создано отношение типа маршрут: от 213.142.201.40 -> внешняя. Под №3 правило для НАТ только для впн и подсети local (172.16.0.0/12) вместо Внутренняя. П.С. Вот пока так описал проблему, если что нужно уточнить говорите, попробую понять. С уважением. |
|
|
Отправлено: 16:54, 22-03-2011 |
Модератор
Сообщения: 969
|
Профиль | Отправить PM | Цитировать Сайт внешний и Вами не контролируется?
|
|
Отправлено: 18:14, 22-03-2011 | #2 |
|
Пользователь Сообщения: 108
|
Профиль | Отправить PM | Цитировать Нет, сервер у нас стоит, следовательно сайт управляется нашим админом.
|
|
Отправлено: 13:53, 23-03-2011 | #3 |
Ветеран Сообщения: 723
|
Профиль | Сайт | Отправить PM | Цитировать Ерунда у вас получается.
внешний должен быть снаружи а внутренний внутри. Если на сайте что то не работает включайте просмотр лога и в онлайне смотрите что блокируется. |
|
Отправлено: 00:49, 24-03-2011 | #4 |
|
Пользователь Сообщения: 108
|
Профиль | Отправить PM | Цитировать Доброго времени суток.
Наверное не точно описал  Есть несколько веб-серверов у которых на единственной сетевой прописаны два ip: внутренний и публичный (адрес из подсети выданной провайдером.) Сервера стоят у нас в серверной. Создано сетевое правило отношение маршрут от этих серверов (созданы объекты компьютер с публичным ip) во внешнюю. Так же созданы по два правила для каждого сервера в межсетевом экране: от сервера во внешку весь трафик и второе правило из внешки к соответствующему серверу определённые протоколы. Всё, данные проходят, пробок нет. Диапазон публичных адресов пришлось указать во внутренней сети, так как в противном случае тмг отшивал все протоколы от этих серверов мотивируя это тем, что адрес не принадлежит внутренней сети а сервера должны быть за экраном. Схема тмг - пограничный сервер у которого одна сетевая (у неё тоже прописан публичный адрес, но он отличный от подсети выданной для серверов провайдером, см. первый пост) смотрит во внешний мир, а другая во внутреннюю сеть. Почему так было сделано - не знаю, наверное из-за того что раньше фаерволом была система на линуксе или предполагалось в будущем сделать что-то типа DMZ. С уважением. |
|
|
Отправлено: 10:24, 24-03-2011 | #5 |
|
Ветеран Сообщения: 723
|
Профиль | Сайт | Отправить PM | Цитировать внутренняя зона должна быть организована как DMZ тогда тмг начнет по человечески понимать что от него хотят.
доступен еще вариант вы можете настроить разрешение имен. что бы внутренние клиенты разрешали имена с внутренними адресами. |
|
Отправлено: 22:24, 25-03-2011 | #6 |
Ветеран Сообщения: 4677
|
Профиль | Отправить PM | Цитировать Цитата Brat_ES:
Цитата Brat_ES:
проблема в том, что не крутятся счётчики? дык компы то за натом, конечно у них один адрес. Цитата Brat_ES:
фильтровать уников по IP - это феерия из разряда выше. |
|||
|
------- Отправлено: 22:53, 25-03-2011 | #7 |
|
Пользователь Сообщения: 108
|
Профиль | Отправить PM | Цитировать Доброго времени суток.
Во общем, проблема решилась отключением в протоколе HTTP для правила доступа к веб-серверу из вне привязки к "Фильтру Веб-прокси", правда он отключился и во всех остальных правилах где задействован протокол http. Не знаю, правильно это иль нет, но зато и бухгалтерские проги заработали как надо (Сбис++ и т.п.) и авторизация через прокси продолжает работать как надо, в целом проблема решена. Как я понял - в данный момент система работает, но не совсем правильно с точки зрения организации структуры сети и по всей видимости нужно думать в будущем о развёртывании DMZ и переноса всех серверов с публичными адресами в эту зону? С уважением. Обновлено: Во общем снова включил фильтр веб-прокси в протоколе http, но убрал протокол http в правилах для доступа к серверам, но заменил его на вновь созданный tcp:80 аналогичный http, но отключил конкретно к tcp:80 привязку фильтра веб-прокси. Полёт нормальный. |
|
Последний раз редактировалось Brat_ES, 07-04-2011 в 15:56. Отправлено: 11:55, 26-03-2011 | #8 |
|
Участник сейчас на форуме |
 |
Участник вне форума |
 |
Автор темы |
 |
Сообщение прикреплено |
| |||||
| Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
| Настройка прокси-сервера запрещает полный доступ к ФТП | SIM | Хочу все знать | 5 | 31-10-2016 09:19 | |
| Интернет - Прокси программы сбили доступ к интернету | 7human7 | Microsoft Windows 7 | 13 | 20-11-2010 14:05 | |
| Proxy/NAT - Прямой доступ к компьютеру, работающему через прокси | antikiller_bm | Сетевые технологии | 1 | 09-02-2010 22:46 | |
| Firewall - Доступ к 4-м серверам <извне, только с заданного IP> | Kentuky | Сетевые технологии | 4 | 02-11-2007 08:21 | |
| Доступ к интернету через прокси? | DIMAIN | Сетевые технологии | 7 | 25-11-2006 20:45 | |
|
|
Время: 14:33. | © OSzone.net 2001-
|
|
Powered by: vBulletin Copyright ©2000 - 2025, Jelsoft Enterprises Ltd. |
