TMGリバースプロキシと基本構成
最近TMG2010をセットアップしましたが、構成に問題があったと思います。 Webパブリッシング/リバースプロキシの設定以外は、実行したくないanything余分です。
私のインターネットはASAに接続し、外部スタティックのポート80を10.1.20.5(TMGマシン-asaのdmzネットワーク10.1.20.0から)に接続しています。TMGマシンには2番目のNIC(ゲートウェイ付きの10.1.10.x)があります。 10.1.10.1)Webサーバーへの内部接続用。
内部/外部ネットワークグループが適切に設定されていることを確認する最も簡単な方法は何ですか(これが私の現在の問題だと思います)、Webリスナーが適切に機能していることを確認してから、異なる内部IPで複数のサイトを公開します。
Web転送の設定に関するガイドをいくつか見てきましたが、それらはすべて、ネットワークグループが適切に設定されていることを前提としています。私のは間違いなくそうではないようです。
内部ネットワークを10.1.10.0-10.1.10.255に変更しましたが、外部ネットワークは構成できないようで、他のネットワークが必要かどうかわかりません。
ありがとう!
これらは、「内部」アダプタを「内部」ネットワークグループに追加しようとしたときに取得する範囲です。
0.0.0.1-10.1.19.255
10.1.21.0-126.255.255.255
128.0.0.0-223.255.255.255
240.0.0.0-255.525.255.254
DMZアダプターを追加すると、最初、3番目、4番目のグループが同じになりますが、2番目のグループは次のようになります。
10.1.11.0-126.255.255.255
これらは「内部」ネットワークグループのアドレスであってはならないように感じます。 「ローカルホスト」「検疫」または「VPNクライアント」の下にリストされているものはありません
私が読んだことに基づいて、あなたはあなたの現在のルートを続けることができるはずです。
デュアルホームTMGを使用している場合に非常に重要なことの1つは、公開ルールで「ソースIPの変更」オプションを使用することです。これがないと、トラフィックがCiscoデバイスからルーティングされ、接続が確立されていないためにドロップされる可能性があります。それは私が認めるよりも多くのセットアップで私を噛みました。
TMGを厳密にリバースプロキシとして使用する場合は、概説されているように、単一のネットワークインターフェイスセットアップを使用することを強くお勧めします ここ 。この設定は管理がはるかに簡単だと思います。
このすべてが言われているForefrontを使用して注意してください。主流のサポートは2015年の初めに終了し、侵入検知シグニチャは役に立たなくなります。今はリバースプロキシが必要ですが、それは1年後には実現するのでしょうか。または2つ?