locked
Forefron TMG и ошибки RRS feed

  • Вопрос

  • Добрый день!

    Конфигурация следующая:
    3 сетевых интерфейса:
    1. Internal0 - 192.168.0.0/24
    2. Internal1 - 192.168.1.0/24
    3. External

    Между Internal0 и Internal1 создано сетевое правило: Internal1-Routing-Internal0.
    Осатльное все типично.

    Постоянно появляется алерт:

    "Forefront TMG обнаружил атаку путем подделки с IP-адреса 192.168.0.132. Атака путем подделки происходит, когда IP-адрес недоступен через сетевую плату, на которую пришел пакет. Если включено ведение журнала для отброшенных пакетов, можно посмотреть подробные сведения в журнале межсетевого экрана. Если IP-адрес принадлежит VPN-клиенту, это событие можно проигнорировать."

    Попробовал прописать в реестре ключ:
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Fweng\Parameters] "DisableSpoofDetection"=dword:00000001
    Не помогло.

    Также постоянно появляется критический алерт:

    "Количество отклоненных TCP и не TCP-пакетов в секунду превышает установленный в системе лимит. По этой причине Forefront TMG сократил количество записей об отклоненных пакетах в журнале.
    Возможно, один или несколько узлов-зомби пытаются атаковать сервер, но политика Forefront TMG блокирует трафик атаки.
    Дополнительные сведения о предотвращении Flood-атак в Forefront TMG см. в документации по продукту"

    Уже отключил слежение за Flood-атаками, все равно появляется. Подскажите, где можно изменить лимит.


    А при мониторинге выходит следующее:

    Неудачная попытка соединения

    GATEWAY 12.01.2010 12:43:17

    Тип журнала: Веб-прокси (прямой)

    Состояние: 0xc0040011 FWX_E_IS_BUSY

    Правило: Allow Web Access for All Users

    Источник: Internal (192.168.1.100:61799)

    Назначение: External (94.100.189.7:80)

    Запрос: GET http://94.100.189.7/cgi-bin/auth?Login=citrix@list.ru&agent=1263282171N970672598&page=http%3A%2F%2Fr%2Email%2Eru%2Fcln3564%2Fwin%2Email%2Eru%2Fcgi%2Dbin%2Fauth%3Flang%3Dru

    Информация фильтра: Req ID: 036090a6; Compression: client=No, server=No, compress rate=0% decompress rate=0%

    Протокол: http

     

    Пользователь: anonymous

     



    Александр Щербаков

    12 января 2010 г. 6:45

Ответы

  • Наткнулся на статью (правда применпимую в ISA Server 2004):
    http://support.microsoft.com/kb/898553

    В которой как раз описывается подобное моей ситуации (несколько подсетей). Уже посмотрел, что RPC фильтр был включен. Отключил его. Наблюдаю.
    Александр Щербаков
    13 января 2010 г. 3:26

Все ответы

  • Забыл добавить, что при появлении ошибки FWX_E_IS_BUSY у пользователя в обозревателе выдается следующее:

    Сообщение о доступе к сети: Не удается отобразить страницу

     

     

     

     

    Объяснение: При попытке доступа к этой странице произошла ошибка, страницу отобразить невозможно.

    Попробуйте следующее:

    • Обновление страницы: выполните повторный поиск страницы, нажав кнопку "Обновить". Возможно, тайм-аут произошел из-за перегрузки Интернета.
    • Проверка написания: проверьте правильность написания адреса веб-узла. Возможны ошибки при вводе адреса.
    • Доступ из ссылки: если имеется ссылка на искомую страницу, попробуйте получить доступ к странице с помощью этой ссылки.

    Если страницу все еще не удается отобразить, обратитесь к администратору или в службу поддержки.

     

     

     

     

    Технические сведения (для персонала службы поддержки)

    • Код ошибки: 500 Внутренняя ошибка сервера. (-1073479663)
    • IP-адрес: 195.128.121.21
    • Дата: 13.01.2010 3:09:31 [GMT]
    • Сервер: Gateway.contoso.local
    • Источник: прокси


    Александр Щербаков
    13 января 2010 г. 3:14
  • Наткнулся на статью (правда применпимую в ISA Server 2004):
    http://support.microsoft.com/kb/898553

    В которой как раз описывается подобное моей ситуации (несколько подсетей). Уже посмотрел, что RPC фильтр был включен. Отключил его. Наблюдаю.
    Александр Щербаков
    13 января 2010 г. 3:26
  • Два дня тестирования показали, что проблема решена.


    Александр Щербаков
    14 января 2010 г. 9:54