Назад | Перейти на главную страницу

Прокси-сервер Forefront TMG, блокирующий внутренние HTTP-запросы для полного доменного имени

У меня установлен Forefront TMG как прокси-сервер. Однако всякий раз, когда я делаю HTTP-запросы к серверам во внутренней сети с полностью определенным DNS-именем, прокси-сервер отклоняет соединение.

Denied Connection FRW-02 18/03/2011 20:06:37 
Log type: Web Proxy (Forward) 
Status: 12202 Forefront TMG denied the specified Uniform Resource Locator (URL).  
Rule: Default rule 
Source: Internal (10.50.75.21:21492) 
Destination: Internal (10.50.75.10:8080) 
Request: GET http://app-01.mydomain.com.br:9871/internalwebserver_deploy/MyServiceService.svc?wsdl 
Filter information: Req ID: 0a157279; Compression: client=No, server=No, compress rate=0% decompress rate=0% 
Protocol: http 
User: anonymous

Как я могу обойти этот блок? Это внутренний вызов, поэтому он не должен его блокировать.

Если я использую только http://app-01:9871/internalwebserver_deploy/MyServiceService.svc?wsdl, без домена после имени сервера, то он не блокируется.

10.50.75.10 - это IP-адрес брандмауэра и шлюз внутренней сети.

Проблема двоякая:

  • ваш браузер в первую очередь отправляет внутренний запрос в TMG, и
  • TMG предотвращает возможную атаку отражения (или, по крайней мере, не имеет правила, разрешающего это)

В зависимости от того, как настроен ваш браузер, лучшее решение с точки зрения минимальных затрат вычислительных циклов - предоставить ему информацию, которая позволит ему не пересылать запросы для * .yourinternaldomain.com на прокси-сервер. {Избегание прокси-сервера} биты {запрос прокси-сервера о том, что вы могли получить напрямую}.

Файлы WPAD (AutoDiscovery) и PAC являются общими методами для этого, и TMG позволяет вам указать эти исключения для объекта внутренней сети в разделе Сети - пока клиент использует автоматическое определение из окна TMG.

Если клиент не, вам нужно либо изменить свой файл PAC, либо просто установить исключение прокси («Обход прокси для этих адресов») либо только для yourhostname.yourinternaldomain.com, либо только для * .yourinternaldomain.com, если вы не используете разделенный DNS система.

Кстати, в прошлый раз, когда я смотрел, TMG по умолчанию выполняет сопоставление строк, а не разрешение имен в своем сценарии автоопределения, поэтому, если вы имеете дело с голыми IP-адресами, а также с красивыми внутренними доменными именами, вам может потребоваться указать как диапазоны сети, так и шаблоны хоста (* .internal.dom).

Другой вариант - создать правило в TMG для разрешить внутреннее на внутреннее (это то, что делает большинство людей - вместо этого, решение с наименьшими привилегиями было бы разрешить только HTTP от внутреннего к этому конкретному хосту), но это не решить проблему соединения браузера с TMG вообще в первую очередь - браузер не должен отправлять внутренние запросы прокси; эту проблему лучше исправить.