none
Публикация FTP на внутреннем интерфейсе TMG 2010 RRS feed

  • Вопрос

  • Добрый день коллеги столкнулся с неожиданной проблемой при тестирование внутреней публикации ФТП сервера.

     

    Ниже пример тестовой сети:

    Имеем TMG 2010 SP1 с адресом 192.168.1.1 (внутренний) и 10.0.0.2 - внешний

    FTP сервер IIS 7.5 (хотя это не важно) с адресом  192.168.1.2

    Клиента из внутренней сети с адресом 192.168.1.3

     

    Создаем правило Publish not-web server. Где Traffic - FTP Server, FROM - Anywhere, TO - 192.168.1.2, Network - Internal с указанием конкретного адреса 192,168,1,1.  

     

    При попытки с клиента 192,168,1,3 телнета (или фтп клиентом) обратиаться на 192,168,1,1 по 21 порту, появляется ошибка 

     

     

    Denied Connection TMG 30.11.2011 19:54:13 
    Log type: Firewall service 
    Status: The policy rules do not allow the user request.  
    Rule: Default rule 
    Source: Internal (192.168.1.3:56170) 
    Destination: Local Host (192.168.1.1:21) 
    Protocol: FTP 
     Additional information 
    Number of bytes sent: 0 Number of bytes received: 0
    Processing time: 0ms Original Client IP: 192.168.1.3 

     

    При этом если исправляем это правило на публикацию на внешнем интерфейсе то когда внешний клиент коннектится - все работает отлично

     

    маленькое уточнение. ФТП сервер отлично доступен с TMG, то есть телнет на 192.168.1.2 21 проходит нормально


    • Изменено Hjn92 30 ноября 2011 г. 15:57
    30 ноября 2011 г. 15:55

Ответы

Все ответы

  • актив пассив ftp ?
    30 ноября 2011 г. 16:16
  • а зачем такое извращение? публикация придумана чтобы внутренние сервисы сделать доступными внешним клиентам. а ты хочешь изнутри же через тмг попасть на внутренний сервер, когда можно пройти напрямую.
    30 ноября 2011 г. 17:08
    Отвечающий
  • 1. Passive

    2. Порой и не такие извращения встречаются в сетях =) Особенно когда идеология построения корпоративной сети исходила от цискорей и там множество всяких геммороев. Сломать нельзя, а выкручиваться порой надо. Вот один из сценариев, пока пусть и тестовый 

    1 декабря 2011 г. 6:12
  • а чем там проблема с идеологией? и клиент и сервер находятся в одном сегменте, причем там цискари?

    и кстати у цискарей сеть как раз почти всегда правильная, потому что виндузятники в сетях чаще всего ничего не понимают :)

    1 декабря 2011 г. 8:26
    Отвечающий
  • День добрый.

    Пример публикации.

    http://www.isaserver.org/tutorials/microsoft-forefront-tmg-ftp-and-ftp-server-publishing.html

    Рекомендую внутри компании в виртуальной среде установить TMG и публиковать внутренние ресурсы. Это позволит уменьшить риски. Так как TMG на границе DMZ это одни правила и политики, а внутренние публикации это други правила и SLA.

     


    MCITP. Знание - не уменьшает нашей глупости.
    1 декабря 2011 г. 8:30
  • День добрый.

    Пример публикации.

    http://www.isaserver.org/tutorials/microsoft-forefront-tmg-ftp-and-ftp-server-publishing.html


    MCITP. Знание - не уменьшает нашей глупости.

    эта статья про банальную публикацию внутреннего сервера для внешних клиентов, к вопросу автора вообще отношения не имеет :)
    1 декабря 2011 г. 8:34
    Отвечающий
  • Да стандартная публикация.

    По вопросу публикации, смотрел бы в сторону таблиц маршрутизации и netsh.

    netsh interface portproxy add v4tov4 listenport=21 listenaddress=192.168.1.1 connectport=21 connectaddress=192.168.1.2

    Все равно не использовал бы на одном TMG такие извращения.


    MCITP. Знание - не уменьшает нашей глупости.
    1 декабря 2011 г. 9:02
  • Большое спасибо коллеги за комментарии. Думаю вопрос можно считать закрытым
    2 декабря 2011 г. 5:26
  • Каков результат публикации ;)


    MCITP. Знание - не уменьшает нашей глупости.
    2 декабря 2011 г. 6:36
  • Не стал извращаться, буду публиковать по старинке, как надо =)
    • Помечено в качестве ответа Yuriy Lenchenkov 9 декабря 2011 г. 12:58
    2 декабря 2011 г. 8:41