TMG 2010不会将请求代理回同一networking
我有一个问题,即通过其公共IP地址访问networking服务器( www.example.com )上托pipe的网站无法从其自己的networking访问,但是可以从其他networking访问这些网站。
这是networking设置:
我有一台TMG 2010 SP1机器,由一个其他人pipe理的路由器(我无法访问),在路由器后面是互联网。
“外部networking”路由器具有1:1的IP地址NAT,指向TMG盒上对应的私有IP地址。 TMG Edge然后有一个networking代理规则,将请求(到www.example.com )转发到networkingB上的networking服务器。
当您尝试通过其公共IP地址访问www.example.com (位于networkingB上)时,会发生以下情况:
互联网 - HTTP 200确定 外部 - HTTP 200确定 networkingA - HTTP 200确定 networkingB - 错误代码10060:连接超时 networkingC - HTTP 200确定
我看到交通击中了TMG防火墙,但它似乎迷路了。 它不会将数据包转发到external network (如果是这样,它会直接发回)。 Wireshark显示进入networkingB接口的数据包,但它永远不会离开TMG。
在请求http://www.example.com/ ,TMG防火墙日志显示一个初始允许的出站请求,在60秒后依次显示:
- 失败的连接尝试
- 源networking:networkingB
- 目标networking:外部
- URL: http : /203.206.238.xxx (公共IP地址, 而不是我实际请求的URL)
状态:10060连接尝试失败,因为连接方在一段时间后没有正确响应,或者由于连接的主机未能响应而build立的连接失败。
我不知道问题出在哪里。 我不知道是否因为某些原因,它代理的公有IP地址作为URL(有代理规则的IP地址,只为FQDNs),或者如果它是完全别的东西。
我很确定这与TMG的devise方式有关。 根据:
http://technet.microsoft.com/en-us/library/cc995133.aspx
绕过防火墙客户端请求的Forefront TMG
Microsoft Forefront威胁pipe理网关旨在处理不同networking之间的通信。 通常,特定networking上的客户端不应通过Forefront TMG到达位于同一networking中的主机。 相反,应该使用直接访问。
直接访问使防火墙客户端计算机能够执行以下操作:绕过Microsoft防火墙客户端configuration并直接连接到资源。 使绕过Web代理筛选器的Web代理请求。
这允许防火墙客户端访问位于其本地networking中的资源,而无需通过Forefront TMG,并允许客户端发出Web请求,而无需通过Forefront TMG作为代理。
这也包括TMG在“单一适配器设置”中的重要限制,其类似于B将如何连接到networking服务器:
有两件事情浮现在脑海里:
- TMG上的发布规则无法parsing托pipe服务器的内部服务器名称。 防火墙策略>>属性>>转到>>关于计算机名称或IP地址的第二个文本字段。
- networking主机期望完整的URL而不是内部名称(相同的位置,下一个checkbox)
在web服务器日志上的任何东西?