TMG 2010は、リクエストと同じネットワークにプロキシバックしません
Webサーバー(www.example.com)でホストされているWebサイトは、パブリックIPアドレスを介してアクセスすると、自分のネットワークからアクセスできませんが、は他のすべてのネットワークからアクセスできます。
これはネットワーク設定です:
他の誰かによって管理されている(アクセスできない)ルーターの背後にTMG 2010 SP1マシンがあり、そのルーターの背後はインターネットです。
「外部ネットワーク」ルーターには、TMGボックス上の対応するプライベートIPアドレスを指すIPアドレスに対して1:1 NAT)があります。TMGエッジには、要求を転送するWebプロキシルールがあります( www.example.com)をネットワークBのWebサーバーに送信します。
パブリックIPアドレスを介してwww.example.com(ネットワークBでホストされている)にアクセスしようとすると、次のようになります。
インターネット-HTTP 200 OK 外部-HTTP 200 OK ネットワークA-HTTP 200 OK ネットワークB-エラーコード10060:接続タイムアウト ネットワークC-HTTP200 OK
トラフィックがTMGファイアウォールに到達するのを確認しましたが、失われるようです。パケットをexternal networkに転送しません(転送した場合、直接送り返します)。 Wiresharkは、ネットワークBインターフェイスに着信するパケットを表示しますが、TMGを離れることはありません。
http://www.example.com/を要求した後、TMGファイアウォールログには、最初に許可された送信要求が表示され、60秒後に次のように表示されます。
- 失敗した接続試行
- ソースネットワーク:ネットワークB
- 宛先ネットワーク:外部
- URL: http://203.206.238.xxx (パブリックIPアドレス、not実際にリクエストしたURL)
ステータス:10060接続されたパーティが一定期間後に適切に応答しなかったために接続の試行が失敗したか、接続されたホストが応答しなかったために接続の確立に失敗しました。
問題がどこにあるのか私にはわかりません。何らかの理由でパブリックIPアドレスをURLとしてプロキシしているためか(FQDNに対してのみIPアドレスのプロキシルールが存在するため)、それが完全に別の原因であるかどうかはわかりません。
これはTMGの設計方法に関係していると確信しています。による:
http://technet.Microsoft.com/en-us/library/cc995133.aspx
ファイアウォールクライアント要求に対するForefront TMGのバイパス
Microsoft Forefront Threat Management Gatewayは、異なるネットワーク間の通信を処理するように設計されています。通常、特定のネットワーク上のクライアントは、同じネットワークにあるホストに到達するためにForefront TMGを通過するべきではありません。代わりに、直接アクセスを使用する必要があります。
直接アクセスにより、ファイアウォールクライアントコンピューターは次のことを実行できます。Microsoftファイアウォールクライアント構成をバイパスし、リソースに直接接続します。 WebプロキシフィルターをバイパスするWebプロキシリクエストを作成します。
これにより、ファイアウォールクライアントはForefront TMGを経由せずにローカルネットワークにあるリソースにアクセスでき、クライアントはForefrontTMGをプロキシとして経由せずにWeb要求を行うことができます。
これは、BがWebサーバーに接続する方法と同様の「単一アダプターセットアップ」におけるTMGの重要な制限もカバーします。
2つのことが頭に浮かびます。
- TMGの公開ルールは、ホスティングサーバーの内部サーバー名の名前を解決できません。ファイアウォールポリシー>>プロパティ>>宛先>>コンピュータ名またはIPアドレスに関する2番目のテキストフィールド。
- Webホストは、内部名ではなく完全なURLを期待します(同じ場所、次のチェックボックス)
Webサーバーログに何かありますか?