我最近设置了 TMG2010,我认为我的配置出了问题。我不想运行任何事物除了网络发布/反向代理设置之外还有更多内容。
我的互联网连接到 ASA,它将外部静态的 80 端口 natting 到 10.1.20.5(TMG 机器 - 来自 asa 上的 dmz 网络 10.1.20.0),TMG 机器有第二个 nic(10.1.10.x 带网关 10.1.10.1)用于与 Web 服务器的内部连接。
确保内部/外部网络组设置正确(我认为这是我当前的问题)的最简单的方法是什么,验证我的网络侦听器是否正常工作,然后在不同的内部 IP 上发布多个站点。
我看过一些关于设置网络转发的指南,但它们都假设网络组已正确设置。我的网络组显然并非如此。
我将内部网络更改为 10.1.10.0 - 10.1.10.255,外部网络似乎无法配置,而且我不确定是否需要其他网络。
谢谢!
这些是我尝试将“内部”适配器添加到“内部”网络组时获得的范围:
0.0.0.1 - 10.1.19.255
10.1.21.0 - 126.255.255.255
128.0.0.0 - 223.255.255.255
240.0.0.0 - 255.525.255.254
当我添加 DMZ 适配器时,我得到相同的第一、第三和第四组,但第二组是:
10.1.11.0 - 126.255.255.255
我觉得这些不应该是“内部”网络组中的地址。“本地主机”、“隔离区”或“VPN 客户端”下没有列出任何地址
答案1
根据我所读的内容,您应该可以继续沿着当前的路线前进。
如果您使用的是双宿主 TMG,那么有一件事非常重要,那就是在发布规则中使用“更改源 IP”选项。如果没有它,您的流量将被路由回 Cisco 设备,并且可能会被丢弃,因为它没有建立连接。这在很多设置中都困扰着我,我不愿意承认。
当严格使用 TMG 作为反向代理时,我强烈建议你使用单个网络接口设置,如下所述这里。我发现这种设置更容易管理。
尽管如此,使用 Forefront 时要小心谨慎。它的主流支持将于 2015 年初结束,入侵检测签名将变得毫无用处。虽然您现在只需要反向代理,但一年后会实现吗?还是两年后?