locked
TMG hinter extra Firewall - Verbindungslimit einstellen RRS feed

  • Frage

  • Hi,

    ein TMG steckt hinter einer extra Firewall. Der TMG muss normalen Webtraffic und SMTP durchlassen, aber auch SFTP (SSH). Nun passiert es, dass bei intensiver Nutzung des SFTP Servers die TMG dicht macht mit der Meldung:

     

    Forefront TMG hat eine Nicht-TCP-Verbindung mit 192.168.x.x getrennt, weil das Verbindungslimit für diese IP-Adresse überschritten wurde. Für die IP-Adressen von verketteten Proxy-Servern und kaskadierten Forefront TMG-Computern mit NAT-Beziehung muss ein höheres benutzerdefiniertes Verbindungslimit festgelegt werden.

     

    Nun bin ich mir nicht ganz sicher, was ich tun und lassen sollte. Welche Limits und wo sollte ich hochsetzen? Zwar könnte ich die separate Firewall einfach in die IP-Ausnahmen (Abwehr von Massenangriffen) nehmen, aber ich weis nicht, ob dies richtig wird.

    Gibt es ein Best Practices für so ein Szenario TMG hinter Firewall?

    Danke für ein paar Tipps und Links.

     

     

     


    Danke und liebe Grüße Oliver Richter
    Dienstag, 13. September 2011 15:17

Antworten

Alle Antworten

  • Hi,

    ja, du musst den verketteten Proxy Server (Firewall) in die Ausnahmen der Flutbwehr eintragen oder das Netzwerkverhaeltnis zwischen TMG und Frontfirewall auf Route stellen, wenn die Frontfirewall schon NAT macht


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
    Dienstag, 13. September 2011 15:34
  • Danke Marc

    wo stelle ich das denn ein: "Netzwerkverhaeltnis zwischen TMG und Frontfirewall auf Route stellen"?

     

     

     

     


    Danke und liebe Grüße Oliver Richter
    Dienstag, 13. September 2011 15:46
  • Hi,

    gib mal bei Google ein: "tmg network route nat" Ist bei mir der erste und zweite Treffer :-)
    http://technet.microsoft.com/en-us/library/dd440991.aspx


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
    • Als Antwort markiert Oliver Richter Donnerstag, 15. September 2011 07:59
    Dienstag, 13. September 2011 16:37
  • Hi Marc,

    was wäre denn von der Sicherheit her besser (empfehlenswert) TMG auf Route stellen oder NAT mit Ausnahmlimit?

    Aus dem Bauch heraus würde ich ja auf NAT tippen. Was wäre praktikabler?

     


    Danke und liebe Grüße Oliver Richter
    Donnerstag, 15. September 2011 08:05
  • Hi,

    ich wuerde die Frontfirewall NAT machen lassen und TMG dann Route!


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
    Donnerstag, 15. September 2011 10:33