TMG 反向代理和基本配置
我最近設置了 TMG2010,我相信我的配置有問題。除了網路發布/反向代理設置之外,我不想執行任何額外的東西。
我的網際網路連接到 ASA,它將外部靜態的 80 埠 natting 到 10.1.20.5(TMG 機器 - 來自 asa 上的 dmz 網路 10.1.20.0),TMG 機器有第二個網卡(10.1.10.x 和網關10.1.10.1) 用於與 Web 伺服器的內部連接。
我可以確保正確設置內部/外部網路組(我認為這是我目前的問題)的最簡單方法是驗證我的網路偵聽器是否正常工作,然後在不同的內部 IP 上發布多個站點。
我看過一些關於設置網路轉發的指南,但它們都假定網路組設置正確。我的絕對不是這樣。
我把內網改成了10.1.10.0 - 10.1.10.255,外網好像是不可配置的,不知道還需要別的。
謝謝!
這些是我嘗試將“內部”適配器添加到“內部”網路組時得到的範圍:
0.0.0.1 - 10.1.19.255
10.1.21.0 - 126.255.255.255
128.0.0.0 - 223.255.255.255
240.0.0.0 - 255.525.255.254
當我添加 DMZ 適配器時,我得到相同的第一組、第三組和第四組,但第二組是:
10.1.11.0 - 126.255.255.255
我覺得這些不應該是“內部”網路組中的地址。“本地主機”、“隔離區”或“VPN 客戶端”下沒有列出任何內容
根據我所讀到的內容,您應該能夠繼續沿目前路線行駛。
如果您使用雙宿主 TMG,那麼非常重要的一件事是在您的發布規則中使用“更改源 IP”選項。沒有它,您的流量將被路由回 Cisco 設備,並且可能會因為它沒有建立連接而被丟棄。這比我願意承認的更多設置讓我感到痛苦。
當嚴格使用 TMG 作為反向代理時,我強烈建議您使用單個網路介面設置,如此處所述。我發現這個設置更容易管理。
所有這一切都說要小心使用 Forefront。它的主流支持在 2015 年初結束,入侵檢測簽名將變得毫無用處。儘管您現在只想要一個反向代理,但一年後會實現嗎?還是兩個?