none
Liberar Acesso de uma rede de perímetro para uma aplicação rodando na rede interna. RRS feed

  • Pergunta

  • Senhores, bom dia!

    Tenho um Forefront TMG recém configurado aqui comigo (tinha uma ISA 2006 funcionando perfeitamente), não tentei exportar nem nenhuma regra, mas copiei algumas coisas, como por exemplo um White list.. mas isto não vem ao caso agora!

    O fato é, tenho duas redes, uma Interna 172.16.1.x, e uma de perímetro 192.168.0.x compartilhando uma internet de ip dinâmico, e tenho uma aplicação rodando em um Servidor na rede interna que está apontando para um outro gateway, um firewall (ISA 2006 enterprise), publicando a aplicação na WEB por um IP FIXO, quem está fora do ambiente acessa normalmente, a publicação está OK. Agora a minha rede de perímetro(que preciso limitar os protocolos de acesso), não tem acesso, já fiz a liberação de porta e nada.... fiz um monitoramento e ele acesso normalmente a porta, porém fecha a conexão com a seguinte mensagem:

    Uma conexão foi fechada porque nenhuma resposta SYN/ACK foi recebida do servidor.

    Já li aqui no Forum que um rapaz desabilitou o Spoofing e a mensagem parou de aparecer.. mas onde desabilito isso?!

    Cenário:

    Firewal TMG com 3 Redes:

    1 Internet IP Dinâmico;

    1 Interna 172.16.1.x 

    1 Perímetro 192.168.0.x

    Firewall ISA 2006 com 2 redes publicando uma aplicação:

    1 Internet de IP FIXO;

    1 Interna 172.16.1.x

    Preciso fazer a Rede de perímetro 192.168.0.x acessar meu IP fixo publicado em um firewall(mas não o mesmo firewall) na rede interna. :P

    As vezes existe uma forma interessante de eu fazer rodar essa aplicação fazendo um NAT das duas redes 172.16.1.x e 192.168.0.x conversarem pela porta publicada... existe isso?!

    Alguém entendeu!? ehaaueh


    []´s Walter Ferry Dissmann


    • Editado WalterFD sábado, 13 de outubro de 2012 15:19
    sábado, 13 de outubro de 2012 15:17

Respostas

  • Então cria uma regra de rede no TMG com source a rede de perímetro e destino a rede interna em Routing...se assim mesmo não funcionar, precisa ver no seu roteador se não tem que adicionar nele a rota da rede de perímetro para a interna.

    Uilson Souza | MCTS ISA Server | MTAC - Microsoft Technical Audience Contributor http://uilson76.wordpress.com

    • Marcado como Resposta WalterFD quarta-feira, 17 de outubro de 2012 12:55
    terça-feira, 16 de outubro de 2012 18:48

Todas as Respostas

  • Walter, o TMG consegue PING da rede perímetro para interna e vice-versa? Elas roteiam?

    Uilson Souza | MCTS ISA Server | MTAC - Microsoft Technical Audience Contributor http://uilson76.wordpress.com

    domingo, 14 de outubro de 2012 15:46
  • Não tinha lido o resto do seu post...

    O IP do seu webserver é público ou interno? Ele vai buscar internamente ou por fora?


    Uilson Souza | MCTS ISA Server | MTAC - Microsoft Technical Audience Contributor http://uilson76.wordpress.com

    domingo, 14 de outubro de 2012 15:47
  • Sua pergunta me deu uma ótima idéia eehhehe!

    Olha, amanhã eu vejo se da rede perímetro eu consigo pingar na interna, da interna eu sei que consigo na rede perímetro sem problemas, inclusive entro no modem de faixa 10.1.1.x ehehhehe


    []´s Walter Ferry Dissmann

    segunda-feira, 15 de outubro de 2012 01:26
  • A minha aplicação roda em um servidor interno, com IP 172.16.1.x e tenho um ISA publicando esse IP pra fora por meio de um IP FIXO.

    Pra mim tanto faz, gostaria q minha aplicação fosse vista por fora na rede perímetro, e nem isto estou conseguindo :-/

    Se a perímetro conseguir acessar a minha rede interna ótimo... mas tive uma idéia ótima... não muito segura.. mas ótima :P amanhã eu testo e posto os resultados!


    []´s Walter Ferry Dissmann

    segunda-feira, 15 de outubro de 2012 01:28
  • É meu amigo, não deu certo! :( Mas agora notei uma coisa esse lance aí 192.168.0.207:49925 é uma porta isso? A minha aplicação roda na 1133.

    Da rede perímetro eu não pingo a rede interna, se pigasse tava lindo, colocava o IP interno e tranquilo!

    Conexão Fechada FW-ONLINE 15/10/2012 18:12:44 
    Tipo de log:Serviço de Firewall 
    Status: Uma conexão foi fechada porque nenhuma resposta SYN/ACK foi recebida do servidor.  
    Regra:Protheus Internet Assistencia 
    Origem:Perímetro (192.168.0.207:49925) 
    Destino:Externo (xxx.xxx.xxx.xxx:1133) 
    Protocolo:Protheus 10 Internet Out 
     Informações adicionais 
    Número de bytes enviados: 152 Número de bytes recebidos: 0
    Tempo de processamento: 68999ms IP do Cliente Original: 192.168.0.207 

    Aproveitando, tava lendo seu blog cara, vc diz: Antivirus instalado no servidores e as pastas do ISA Server não cadastradas na exceção de SCAN

    Eu estou instalando o System Center Endpoint 2012 e talz.. será que terei problemas em instalar o client dele no TMG?!


    []´s Walter Ferry Dissmann

    terça-feira, 16 de outubro de 2012 12:04
  • Precisa ver se, executando um Telnet da rede de perímetro para a interna, se o TMG barra essa conexão ou se, nem chegar lá chega. O que pensei foi vc ver se um ping simples alcança um rede para a outra e se há roteamento entre elas. Se não tiver, veja se na parte de network rules não seria legal criar uma regra de roteamento entre essas redes.

    Sobre o antivirus, em tese o TMG não deveria ter antivirus instalado, mas, se for política da corporação, vc pode instalar sem problemas desde que as pastas de cache, log e do próprio TMG sejam colocadas como exceção na hora de se fazer um scan.

    Um scan nessas pastas pode causar problemas no acesso a internet.


    Uilson Souza | MCTS ISA Server | MTAC - Microsoft Technical Audience Contributor http://uilson76.wordpress.com

    terça-feira, 16 de outubro de 2012 13:43
  • Hummm vou fuçar nessas regras de rede... 

    Não é o melhor cenário pra mim não, o acesso a rede interna pela rede de perímetro não é uma boa...mas na atual circunstância é o que posso fazer.

    Valeu demais cara... acho que vou instalar o A.V. sim, uma vez que o TMG tmb tá com IIS rodando e operando já! :P


    []´s Walter Ferry Dissmann


    • Editado WalterFD terça-feira, 16 de outubro de 2012 14:47
    terça-feira, 16 de outubro de 2012 14:46
  • OK, testa aí e avisa se mudou o cenário.

    O que vc pode fazer é...se a regra de rede funcionar, limitar os acessos via regra no próprio TMG.


    Uilson Souza | MCTS ISA Server | MTAC - Microsoft Technical Audience Contributor http://uilson76.wordpress.com

    terça-feira, 16 de outubro de 2012 14:49
  • tentei criar essa regra... eu teria que adicionar rota na estação do perímetro correto né? (engraçado que não preciso de rota no interno para conseguir pingar a rede de perímetro aqui da interna)

    Route add 172.16.1.0 mask 255.255.255.0 192.168.0.222(ip do TMG) -p

    Não testei adicionar a rota... mas a principio adicionei a regra de rede e mesmo assim o perímetro não pinga a rede interna.


    []´s Walter Ferry Dissmann


    • Editado WalterFD terça-feira, 16 de outubro de 2012 16:01
    terça-feira, 16 de outubro de 2012 16:01
  • O seu TMG pinga as duas redes? (Interna e Perímetro)? Se sim, vc não precisa adicionar a rota...caso precise, a rota deve ser adicionada no servidor do TMG...

    Uilson Souza | MCTS ISA Server | MTAC - Microsoft Technical Audience Contributor http://uilson76.wordpress.com

    terça-feira, 16 de outubro de 2012 17:40
  • Pinga sim as duas redes normal... eu da rede interna pingo a rede perímetro, mas a rede perímetro não me "pinga" eoahaeouhae :)

    Que rota preciso adicionar? É nas regras de rede, mas como faço? NAT? 


    []´s Walter Ferry Dissmann

    terça-feira, 16 de outubro de 2012 18:01
  • Então cria uma regra de rede no TMG com source a rede de perímetro e destino a rede interna em Routing...se assim mesmo não funcionar, precisa ver no seu roteador se não tem que adicionar nele a rota da rede de perímetro para a interna.

    Uilson Souza | MCTS ISA Server | MTAC - Microsoft Technical Audience Contributor http://uilson76.wordpress.com

    • Marcado como Resposta WalterFD quarta-feira, 17 de outubro de 2012 12:55
    terça-feira, 16 de outubro de 2012 18:48
  • Criei duas regras de rede, uma como "rota" e outra como "nat" e deu certo.

    Agora como eu consigo restringir o acesso dessa rede de perímetro só pela porta 1133 só para o IP do servidor... é só criar uma regra de firewall normal?

    No mais... MUITO obrigado meu amigo...


    []´s Walter Ferry Dissmann


    • Editado WalterFD quarta-feira, 17 de outubro de 2012 12:57
    quarta-feira, 17 de outubro de 2012 12:56
  • Sim...faz uma regra de firewall normal que agora funciona! Por nada, precisando é só pedir...se precisar de algo mais, vai lá no blog e deixa um comment

    Uilson Souza | MCTS ISA Server | MTAC - Microsoft Technical Audience Contributor http://uilson76.wordpress.com

    quarta-feira, 17 de outubro de 2012 13:01