TMG 2010 不代理回到與請求相同的網路
我有一個問題,即託管在 Web 伺服器 (
www.example.com) 上的網站在通過其公共 IP 地址訪問時無法從其自己的網路訪問,但可以從其他所有網路訪問。這是網路設置:
我在由其他人(我無權訪問)管理的路由器後面有一台 TMG 2010 SP1 機器,而該路由器後面是網際網路。
“外部網路”路由器有一個 1:1 的 NAT 用於指向 TMG 盒子上相應私有 IP 地址的 IP 地址。然後,TMG Edge 有一個 Web 代理規則,將請求(到
www.example.com)轉發到網路 B 上的 Web 伺服器。當您嘗試
www.example.com通過其公共 IP 地址訪問(託管在網路 B 上)時,會發生以下情況:網際網路 - HTTP 200 正常 外部 - HTTP 200 正常 網路 A - HTTP 200 正常 **網路 B - 錯誤程式碼 10060:連接超時** 網路 C - HTTP 200 正常我看到流量擊中了 TMG 防火牆,但隨後它似乎迷路了。它不會將數據包轉發給
external network(如果轉發了,它會直接發回)。Wireshark 顯示進入網路 B 介面的數據包,但它從未離開 TMG。請求後
http://www.example.com/TMG 防火牆日誌顯示初始允許的出站請求,60 秒後顯示:
- 連接嘗試失敗
- 來源網路:網路B
- 目標網路:外部
- URL: http: //203.206.238.xxx(公網IP地址,不是我實際請求的URL)
Status: 10060 連接嘗試失敗,因為連接的一方在一段時間後沒有正確響應,或者連接的主機沒有響應,建立連接失敗。
我不知道問題出在哪裡。我不知道是不是因為某種原因它將公共 IP 地址代理為 URL(IP 地址有代理規則,僅適用於 FQDN),或者它是否完全是別的東西。
我很確定這與 TMG 的設計方式有關。根據:
http://technet.microsoft.com/en-us/library/cc995133.aspx
為防火牆客戶端請求繞過 Forefront TMG
Microsoft Forefront 威脅管理網關旨在處理不同網路之間的通信。通常,特定網路上的客戶端不應通過 Forefront TMG 訪問位於同一網路中的主機。相反,應該使用直接訪問。
直接訪問使防火牆客戶端電腦能夠執行以下操作: 繞過 Microsoft 防火牆客戶端配置並直接連接到資源。發出繞過 Web 代理過濾器的 Web 代理請求。
這允許防火牆客戶端訪問位於其本地網路中的資源,而無需通過 Forefront TMG,並允許客戶端在不通過 Forefront TMG 作為代理的情況下發出 Web 請求。
這也涵蓋了 TMG 在“單適配器設置”中的重大限制,這類似於 B 如何連接到 Web 伺服器: