web-dev-qa-db-ja.com

FQDNの内部HTTP要求をブロックするForefrontTMGプロキシ

ForefrontTMGをプロキシサーバーとしてインストールしています。ただし、完全修飾DNS名を使用して内部ネットワーク上のサーバーにHTTP要求を行うと、プロキシは接続を拒否します。

Denied Connection FRW-02 18/03/2011 20:06:37 
Log type: Web Proxy (Forward) 
Status: 12202 Forefront TMG denied the specified Uniform Resource Locator (URL).  
Rule: Default rule 
Source: Internal (10.50.75.21:21492) 
Destination: Internal (10.50.75.10:8080) 
Request: GET http://app-01.mydomain.com.br:9871/internalwebserver_deploy/MyServiceService.svc?wsdl 
Filter information: Req ID: 0a157279; Compression: client=No, server=No, compress rate=0% decompress rate=0% 
Protocol: http 
User: anonymous 

このブロックを回避するにはどうすればよいですか?これは内部呼び出しであるため、ブロックしないでください。

サーバー名の後にドメインを付けずにhttp://app-01:9871/internalwebserver_deploy/MyServiceService.svc?wsdlのみを使用すると、ブロックされません。

10.50.75.10は、ファイアウォールのIPであり、内部ネットワークのゲートウェイです。

1
Pascal

問題は2つあります。

  • そもそもブラウザはTMGに内部リクエストを送信しています。
  • TMGは、起こりうるリフレクション攻撃を防止しています(または、少なくとも、それを許可するルールはありません)

ブラウザの構成方法によっては、無駄なコンピューティングサイクルを最小限に抑えるという観点からのより良い解決策は、notリクエストを転送できるようにする情報をブラウザに提供することです。 .yourinternaldomain.comをプロキシサーバーに。 {プロキシを回避する}は{プロキシに直接取得できるものを要求する}よりも優れています。

WPAD(AutoDiscovery)およびPACファイルはこれを行う一般的な方法であり、TMGを使用すると、ネットワークの下の内部ネットワークオブジェクトでこれらの除外を指定できます-クライアントがTMGボックスからの自動検出を使用している場合

クライアントではないの場合は、PACファイルを変更するか、yourhostname.yourinternaldomain.comのみ、または*のみのプロキシ除外(「これらのアドレスのプロキシをバイパスする」)を設定する必要があります。分割DNSシステムを使用していない場合は、.yourinternaldomain.com。

余談ですが、前回見たとき、TMGはデフォルトで自動検出スクリプトで名前解決ではなく文字列一致を基本的に実行するため、裸のIPとニースの内部ドメイン名を扱う場合は、ネットワーク範囲とネットワーク範囲の両方を指定する必要があります。ホストパターン(* .internal.dom)。

他のオプションは、TMGでルールを作成して内部から内部への許可(これはほとんどの人が行うことです-代わりに、最小特権の解決策は、内部からその特定のホストへのHTTPのみを許可することです)、しかし、これはしないブラウザがTMGと通信する問題に対処するまったくそもそも-ブラウザはプロキシに内部リクエストを送信するべきではありません。それは修正すべきより良い問題です。

4
TristanK