Hallo zusammen,
nein, ich konnte das Problem noch nicht lösen =(
Mir stellt sich nach wie vor die Frage, ob das überhaupt funktionieren kann, denn der TMG hat nur eine NIC / IP Adresse.
Wenn ich eine neue Nicht-Webserver-Protokoll Regel erstelle erhalte ich die Meldung:
Forefront TMG hat eine Konfiguration mit einem einzelnen Netzwerkadapter ermittelt. Serververöffentlichungsregeln werden in einer solchen Konfiguration nicht unterstützt. Möchten Sie dennoch eine Serververöffentlichungsregel erstellen?
Was ist mein Ziel?
--> Veröffentlichung des internen SFTP-Servers über den TMG ins Internet. Beide Server haben jeweils nur eine IP Adresse und sind in unterschiedlichen Sicherheitszonen / Subnetzen.
In der aktuellen Firewallkonfig (nicht TMG) ist der TMG Server mit Zielport TCP 21+22 auf den internen SFTP Server freigeschaltet.
In der aktuellen TMG Konfig haben ich zum Testen sämtlichen Verkehr zwischen TMG und SFTP Server erlaubt. Vom TMG Server komme ich auch über TCP 21+22 auf den internen SFTP Server.
Jetzt möchte ich diesen Server veröffentlichen, jedoch nicht über die Standardports, sondern über bspw. 44321 und 44322. Die entsprechenden Ports sind bereits an den FW Richtung Internet freigeschaltet.
Wenn ich jetzt vom TMG einen FTP CLient (FileZilla) starte und mit via FTP oder SFTP auf den internen Server verbinde, bekomme ich alle Verzeichnisse angezeigt. Hier stolperte ich bereits über den FTP Zugriffsfilter ;-) (read only)
Wenn es jetzt darum geht den internen SFTP Server zu veröffentlichen habe ich eben die bisher beschriebenen Probleme.
Selbst wenn ich eine Veröffentlichung auf den Standardports erstelle funktioniert das Ganze auch nicht. Auf dem TMG müsste doch dann zumindest lokal auf TCP 21/22 gehorcht werden. Selbst das ist nicht der Fall.
Ich lösche jetzt nochmal alle Regeln und lege sie neu an (siehe http://marckean.wordpress.com/2009/06/25/publish-secure-ftp-ftp-through-isa-2006/).
Hat jemand von euch noch eine Idee die mir weiterhelfen könnte?
Viele Grüße
Christoph
