Комментарии на: Улучшенный механизм трансляции сетевых адресов NAT в Forefront TMG http://sinitsyn.org/2009/07/uluchshennyj-mexanizm-translyacii-setevyx-imen-nat-v-forefront-tmg/ ИТ/ИБ в отражении действительном, ретроспективном и многогранно перспективном | В фокусе: ISA Server, Forefront TMG, IAG, UAG, RMS, Security. Sat, 16 Apr 2011 07:45:50 +0000 hourly 1 http://wordpress.org/?v=3.1 От: Пётр http://sinitsyn.org/2009/07/uluchshennyj-mexanizm-translyacii-setevyx-imen-nat-v-forefront-tmg/comment-page-1/#comment-3511 Пётр Sat, 02 Oct 2010 20:35:32 +0000 http://sinitsyn.org/?p=793#comment-3511 Здравствуйте, Артём. Подскажите, пожалуйста, как можно настроить работу сервера SMTP не через IP-адрес по умолчанию, если этот SMTP находится на самом TMG (Microsoft Exchange 2010 - Edge Transport)? Здравствуйте, Артём. Подскажите, пожалуйста, как можно настроить работу сервера SMTP не через IP-адрес по умолчанию, если этот SMTP находится на самом TMG (Microsoft Exchange 2010 – Edge Transport)?

]]> От: Артём Синицын http://sinitsyn.org/2009/07/uluchshennyj-mexanizm-translyacii-setevyx-imen-nat-v-forefront-tmg/comment-page-1/#comment-3471 Артём Синицын Tue, 06 Apr 2010 12:44:22 +0000 http://sinitsyn.org/?p=793#comment-3471 Как здорово, что нам представилась возможность обсудить данную проблему при встрече на еминаре TechDays :) Сергей, я, как и обещал, постараюсь пообщаться с продуктовой группой насчет доработки пользовательского интерфейса TMG. Как здорово, что нам представилась возможность обсудить данную проблему при встрече на еминаре TechDays :)

Сергей, я, как и обещал, постараюсь пообщаться с продуктовой группой насчет доработки пользовательского интерфейса TMG.

]]> От: ssa http://sinitsyn.org/2009/07/uluchshennyj-mexanizm-translyacii-setevyx-imen-nat-v-forefront-tmg/comment-page-1/#comment-3451 ssa Thu, 25 Feb 2010 17:22:17 +0000 http://sinitsyn.org/?p=793#comment-3451 Артем! я не выбирал "конфигурацию, в которой отношений NAT существует ТОЛЬКО между Внутренней сетью и Периметральной". Был представлен при установке выбор топологи из нескольких (4-х) вариантов, где каждая была вербально и в картинках описана. Фактически TMG выступает в роли Back firewall, что и было выбрано. Если посмотреть Network Rules, то там четко прописаны отношения Internal к External как NAT, т.е. такие же как Internal к Perimeter (что собственно разумно, и не понимаю о каком "ТОЛЬКО" идет речь). А вот почему настройки этого правила оказались ущербными я так и не понял. Отношения Perimeter к External меня вообще не волнуют, как и ТМG :-) Я сам для себя в этой ситуации сделал вывод (возможно и не верный, попытайтесь переубедить ;), что выбор топологии Back firewall в текущей реализации TMG – чушь полная и не рекомендована к выбору. Она легко заменяется выбором роли Edge и созданием SubNet – с именем Perimeter (или DMZ) и созданием соответствующих правил взаимоотношений с серверами в этой подсети. Короче, делать сеть Perimeter имеет смысл только в 3-leg топологии. И еще один вывод: сделав глупость и выбрав при инсталляции Back firewall будете мучительно ручками переводить TMG в режим Edge firewall, т.к. Wizard не может автоматически переконфигурировать шлюз (правда, когда я правил уже 3-й сервер, это у меня заняло не более 5 минут). С уважением, Сергей Артем! я не выбирал “конфигурацию, в которой отношений NAT существует ТОЛЬКО между Внутренней сетью и Периметральной”.
Был представлен при установке выбор топологи из нескольких (4-х) вариантов, где каждая была вербально и в картинках описана. Фактически TMG выступает в роли Back firewall, что и было выбрано.
Если посмотреть Network Rules, то там четко прописаны отношения Internal к External как NAT, т.е. такие же как Internal к Perimeter (что собственно разумно, и не понимаю о каком “ТОЛЬКО” идет речь). А вот почему настройки этого правила оказались ущербными я так и не понял.
Отношения Perimeter к External меня вообще не волнуют, как и ТМG :-)
Я сам для себя в этой ситуации сделал вывод (возможно и не верный, попытайтесь переубедить ;), что выбор топологии Back firewall в текущей реализации TMG – чушь полная и не рекомендована к выбору. Она легко заменяется выбором роли Edge и созданием SubNet – с именем Perimeter (или DMZ) и созданием соответствующих правил взаимоотношений с серверами в этой подсети.
Короче, делать сеть Perimeter имеет смысл только в 3-leg топологии.
И еще один вывод: сделав глупость и выбрав при инсталляции Back firewall будете мучительно ручками переводить TMG в режим Edge firewall, т.к. Wizard не может автоматически переконфигурировать шлюз (правда, когда я правил уже 3-й сервер, это у меня заняло не более 5 минут).

С уважением, Сергей

]]> От: Артём Синицын http://sinitsyn.org/2009/07/uluchshennyj-mexanizm-translyacii-setevyx-imen-nat-v-forefront-tmg/comment-page-1/#comment-3447 Артём Синицын Wed, 24 Feb 2010 22:07:12 +0000 http://sinitsyn.org/?p=793#comment-3447 Благодарю за поздравления, примите в свою очередь мои ;) Честно говоря, мне удивительно, что Вас такое положение вещей удивляет (прошу прощения за тавтологию). Вы сами выбрали конфигурацию, в которой отношений NAT существует ТОЛЬКО между Внутренней сетью и Периметральной. То есть TMG может контролировать преобразование сетевых адресов в пакетах, проходящих ТОЛЬКО между этими сетями. А за трансляцию сетевых адресов между Периметральной и Внешней сетями должен отвечать Front Firewall :) Благодарю за поздравления, примите в свою очередь мои ;)

Честно говоря, мне удивительно, что Вас такое положение вещей удивляет (прошу прощения за тавтологию).

Вы сами выбрали конфигурацию, в которой отношений NAT существует ТОЛЬКО между Внутренней сетью и Периметральной. То есть TMG может контролировать преобразование сетевых адресов в пакетах, проходящих ТОЛЬКО между этими сетями.

А за трансляцию сетевых адресов между Периметральной и Внешней сетями должен отвечать Front Firewall :)

]]> От: ssa http://sinitsyn.org/2009/07/uluchshennyj-mexanizm-translyacii-setevyx-imen-nat-v-forefront-tmg/comment-page-1/#comment-3445 ssa Mon, 22 Feb 2010 14:01:25 +0000 http://sinitsyn.org/?p=793#comment-3445 Артем, с наступающим праздником тебя! Получил довольно неприятную ситуацию с NAT в TMG 2010. У меня конфигурация сети с TMG в роли Back firewall. На границе стоит железный роутер с функцией балансировки трафика. При установке указал, что Perimeter с Public addresses (на внешнем сетевом интерфейсе TMG 3 реальных IP-адреса). Настроил все под ключ: рулезов наделал,сети, субсети, VPN-канал поднял на филиал. Дошло время снимать сливки от новой версии - лезу вкусить Enhanced NAT Functionality, переключаю на Use the selected IP address ... и бац : комбобокс пустой :( Не дает сволочь выбрать адрес для выхода на External. Зато (в юморе MS не занимать!!!) могу выбирать IP-адрес если в Destination выбрать Perimeter. Ну и что мне делать? :( Пока в голову приходит только одно – сказать TMG, что нет у меня никакого периметра и он стоит на границе сети … Может MVP-шный мозг что-то лучше придумать сможет ;) Артем, с наступающим праздником тебя!
Получил довольно неприятную ситуацию с NAT в TMG 2010.
У меня конфигурация сети с TMG в роли Back firewall. На границе стоит железный роутер с функцией балансировки трафика. При установке указал, что Perimeter с Public addresses (на внешнем сетевом интерфейсе TMG 3 реальных IP-адреса).
Настроил все под ключ: рулезов наделал,сети, субсети, VPN-канал поднял на филиал.
Дошло время снимать сливки от новой версии – лезу вкусить Enhanced NAT Functionality, переключаю на Use the selected IP address … и бац : комбобокс пустой :(
Не дает сволочь выбрать адрес для выхода на External.
Зато (в юморе MS не занимать!!!) могу выбирать IP-адрес если в Destination выбрать Perimeter.
Ну и что мне делать? :(
Пока в голову приходит только одно – сказать TMG, что нет у меня никакого периметра и он стоит на границе сети … Может MVP-шный мозг что-то лучше придумать сможет ;)

]]> От: Артём Синицын http://sinitsyn.org/2009/07/uluchshennyj-mexanizm-translyacii-setevyx-imen-nat-v-forefront-tmg/comment-page-1/#comment-3401 Артём Синицын Fri, 20 Nov 2009 01:58:07 +0000 http://sinitsyn.org/?p=793#comment-3401 <a href="#comment-3388" rel="nofollow">@VitoFox </a> Прошу прощения за столь долгое ожидание ответа. К сожалению, я нигде не видел подобных решений. И мне неизвестно, каким образом подобный функционал можно получить на ISA Server :( Советую Вам переходить на Forefront TMG 2010, благо этот продукт уже вышел: http://sinitsyn.org/2009/11/3-goda-ozhidaniya-3-bukvy-nazvaniya-3-bukvy-statusa-forefront-tmg-2010-rtm/ @VitoFox
Прошу прощения за столь долгое ожидание ответа. К сожалению, я нигде не видел подобных решений. И мне неизвестно, каким образом подобный функционал можно получить на ISA Server :(
Советую Вам переходить на Forefront TMG 2010, благо этот продукт уже вышел:
http://sinitsyn.org/2009/11/3-goda-ozhidaniya-3-bukvy-nazvaniya-3-bukvy-statusa-forefront-tmg-2010-rtm/

]]> От: VitoFox http://sinitsyn.org/2009/07/uluchshennyj-mexanizm-translyacii-setevyx-imen-nat-v-forefront-tmg/comment-page-1/#comment-3388 VitoFox Tue, 10 Nov 2009 04:10:01 +0000 http://sinitsyn.org/?p=793#comment-3388 Артем, а не подскажете где вы видели решение static NAT для ISA? У меня есть задача где нужна эта фича. Артем, а не подскажете где вы видели решение static NAT для ISA? У меня есть задача где нужна эта фича.

]]> От: Артём Синицын http://sinitsyn.org/2009/07/uluchshennyj-mexanizm-translyacii-setevyx-imen-nat-v-forefront-tmg/comment-page-1/#comment-3342 Артём Синицын Sat, 12 Sep 2009 08:39:00 +0000 http://sinitsyn.org/?p=793#comment-3342 <a href="#comment-3340" rel="nofollow">@YTugarev </a> Большое спасибо, коллега. Действительно, ошибочка вышла. Что для меня, признаться, странно :) Теперь всё отредактировано. Можно отправлять в печать =) @YTugarev
Большое спасибо, коллега. Действительно, ошибочка вышла. Что для меня, признаться, странно :)
Теперь всё отредактировано. Можно отправлять в печать =)

]]> От: YTugarev http://sinitsyn.org/2009/07/uluchshennyj-mexanizm-translyacii-setevyx-imen-nat-v-forefront-tmg/comment-page-1/#comment-3340 YTugarev Tue, 08 Sep 2009 12:30:40 +0000 http://sinitsyn.org/?p=793#comment-3340 Трансляция сетевых адресов, не имен Артем. Было бы хорошо поправить. Трансляция сетевых адресов, не имен Артем. Было бы хорошо поправить.

]]>