none
Не работают Access Rules для входящего извне трафика RRS feed

  • Вопрос

  • Удивительная ситуация... Например, такое правило:

    "тип - access rule, источник - external, получатель - local host, протокол - rdp сервер, действие - разрешить"

    Трафик до получателя не доходит, в логе TMG можно увидеть, что соединение с параметрами

    "источник - external, получатель - local host, протокол - rdp сервер, порт - 3386"

    применено действие - denied, привило - default rule.

    Среди системных правил есть точно такое же по описанию, как сабж, если его включить -- трафик идет без проблем, о чем и лог говорит.

    Если создать правило (или просто модифицировать первое)

    "тип - access rule, источник - external, получатель - local host, протокол - пинг, действие - разрешить"

    Оно срабатывает.

    Для остальных протоколов, типа SMTP, HTTP, RDP - не работает.

    Публикация через Server Publishing Rules -- работает.

    Коллеги, прошу объяснить почему первое правило не срабатывает? TMG SP1 Update 1.


    MCITP: EA, EMA, VA; MCSA
    12 февраля 2011 г. 22:25

Ответы

  • Все оказалось по-другому: для  Access Rules, пусть даже если трафик идет из интернета на TMG, направление трафика в правиле должно быть исходящие... Вот такая особенность у TMG.

    Что же до порядка правил, то логика во всех фаэрволов такая: перебираюются правила сверху вниз, пока не будет однозначного разрешения или запрещения. На этом перебор завершается. Если трафик никуда не подошел, то срабатывает послднее, запрещающее default rule.


    MCITP: EA, EMA, VA; MCSA
    • Помечено в качестве ответа Yuriy Lenchenkov 1 марта 2011 г. 15:00
    28 февраля 2011 г. 14:10

Все ответы

  • Вот здесь говорят о том же: http://serverfault.com/questions/161732/how-do-i-allow-access-to-a-service-running-on-a-forefront-tmg-server

    Симулятор трафика показывает то же самое поведение для этого правила, что и фаэрволл.


    MCITP: EA, EMA, VA; MCSA
    12 февраля 2011 г. 23:26
  • зачем плодить правила, для доступа в одном направлении? если есть предсозданные правила, используйте их.
    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
    18 февраля 2011 г. 8:09
  • Предсозданные не обеспечивают такой же гибкости в настройках, как созданные самостоятельно, к тому же, системные правила настраиваются в других целях.

    Я все же надеюсь получить ответ о причине такого поведения и workaround, а не столь популярный на этом формуе ответ вопросом на вопрос, "зачем не это нужно" ;)


    MCITP: EA, EMA, VA; MCSA

    19 февраля 2011 г. 15:54
  • могу предложить такое объяснение - если есть два правила для одного назначения, при обращении через TMG правила применяются по порядку и дальнейшая проверка не производится, если найдено соответствие в обращение и правиле. Системные правила по списку раньше определяемых следуют.
    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
    28 февраля 2011 г. 8:37
  • Все оказалось по-другому: для  Access Rules, пусть даже если трафик идет из интернета на TMG, направление трафика в правиле должно быть исходящие... Вот такая особенность у TMG.

    Что же до порядка правил, то логика во всех фаэрволов такая: перебираюются правила сверху вниз, пока не будет однозначного разрешения или запрещения. На этом перебор завершается. Если трафик никуда не подошел, то срабатывает послднее, запрещающее default rule.


    MCITP: EA, EMA, VA; MCSA
    • Помечено в качестве ответа Yuriy Lenchenkov 1 марта 2011 г. 15:00
    28 февраля 2011 г. 14:10