Forefront TMG 2010 – część 11 – Publikacja zasobów
.png "Udostępnij na: Facebook")
Autor: Jacek Światowiak
Opublikowano: 2011-11-17
Wprowadzenie
W poprzednich częściach z serii Forefront TMG 2010 przedstawiliśmy zagadnienia poświęcone klientom serwera TMG. Zostały opisane zagadnienia dostępu z sieci korporacyjnej do innych sieci, w tym Internetu. W tej części serii zostanie opisana publikacja zasobów (serwerów) do Internetu. Opisywanie zagadnień zaczniemy od publikacji najprostszych serwerów typu Non-Web (na przykładzie serwera SSH).
Publikacja serwerów typu Non-Web
Aby opublikować dowolny z serwerów, przechodzimy na poziom Firewall Policy. Z menu, w prawym oknie, wybieramy zakładkę Tasks, a w niej Publish Non-Web Server. Rys. 11.1. przedstawia wygląd konsoli na tym poziomie.
.jpg "Wygląd konsoli na poziomie Firewall Policy")
Rys. 11.1. Wygląd konsoli na poziomie Firewall Policy.
Działanie to spowoduje uruchomienie kreatora publikacji serwerów typu Non-Web. Okno wstępne kreatora — Welcome to the New Server Publishing RuleWizard — przedstawione na Rys. 11.2. — pozwala wyłącznie na podanie nazwy tworzonej reguły publikacji serwera.
.jpg "Kreator publikacji serwerów typu non-Web, okno początkowe")
Rys. 11.2. Kreator publikacji serwerów typu non-Web, okno początkowe.
Okno Select Server (pokazane na Rys. 11.3.) odpowiada za określenie adresu IP publikowanego serwera typu non-Web. Adres IP [niestety tylko IPv4] można wpisać manualnie lub posłużyć się kreatorem odnajdywania. Aby to zrobić należy kliknąć w przycisk Browse… [opcja bardzo wygodna w środowisku Active Directory, gdzie TMG jest członkiem domeny].
.jpg "Kreator publikacji serwerów typu non-Web, okno Select Server")
Rys. 11.3. Kreator publikacji serwerów typu non-Web, okno Select Server.
W oknie Select Protocol wybieramy jeden z dostępnych z listy protokołów, określanych jako serwerowe (ang. server protocol). Na Rys. 11.4. zaprezentowano wszystkie standardowo dostępne protokoły serwerowe w serwerze TMG 2010. Niestety protokołu SSH nie ma na liście. Definicję takiego protokołu trzeba sobie samodzielnie wygenerować, tak jak pokazano to w części 7 tej serii artykułów na Rys. 7.17.
.jpg "Wybór protokołu serwerowego")
Rys. 11.4. Wybór protokołu serwerowego.
Na Rys. 11.5. pokazano utworzoną definicję takiego protokołu i właśnie ten protokół został wybrany.
.jpg "Wybrany protokół serwerowy – SSH Server")
Rys. 11.5. Wybrany protokół serwerowy – SSH Server.
Na Rys. 11.6. przedstawiono okno odpowiadające za konfigurację portów (jest to mechanizm odpowiedzialny za przekierowanie portów). Po kliknięciu na przycisku Ports… można dokonać zmiany standardowego przypisania portów do usług. Okno to odpowiada za konfigurację mechanizmu, który w wielu firewallach innych producentów może być określany jako port forwarding lub port translation.
.jpg "Kreator publikacji serwerów typu non-Web – okno Ports")
Rys. 11.6. Kreator publikacji serwerów typu non-Web – okno Ports.
* *
- Firewall Ports to port, na którym nasłuchuje interfejs zewnętrzny serwera TMG.
- Published Server Ports — port wykorzystywany na publikowanym serwerze.
- Source Ports — ogranicza zakres portów, z których klient może nawiązywać połączenia. Domyślnie serwer TMG nie wprowadza ograniczeń.
W kolejnym kroku konfiguracji należy określić, skąd będą przychodziły zapytania od klientów SSH. W opisywanym przykładzie będą one przychodziły z sieci EXTERNAL. Opisywane zagadnienie prezentuje Rys. 11.7. — okno Network Listener IP Addresses.
.jpg "Kreator publikacji serwerów typu non-Web okno Network Listener IP Addresses")
Rys. 11.7. Kreator publikacji serwerów typu non-Web okno Network Listener IP Addresses.
Serwer TMG może mieć wiele przypisanych adresów IP do interfejsu, na którym nasłuchuje komunikacji. Po kliknięciu w przycisk Address… będzie można w oknie External Network Listener IP Selection (pokazanym na Rys. 11.8.) precyzyjnie określić, na jakim adresie (adresach) serwer TMG ma nasłuchiwać komunikacji. Uwaga – serwer TMG domyślnie nasłuchuje komunikacji na wszystkich adresach IP, powiązanych z danym interfejsem sieciowym.
.jpg "Kreator publikacji serwerów typu non-Web, okno External Network Listener IP Selection")
Rys. 11.8. Kreator publikacji serwerów typu non-Web, okno External Network Listener IP Selection.
Musimy pominąć ostanie okno kreatora, gdyż nie wnosi ono nic istotnego do procesu tworzenia reguły publikacji. Podobnie jak to miało miejsce przy korzystaniu z kreatora tworzenia reguły dostępu, tak i tu nie wszystkie opcje kreatora dają się zdefiniować. Pewne opcje dodatkowe można zdefiniować, modyfikując właściwości utworzonej reguły. Klikamy prawym przyciskiem myszy na regułę i z menu wybieramy Properties (sytuację prezentuje Rys. 11.9.).
.jpg "Dostęp do opcji utworzonej reguły publikacji serwer typu Non-Web")
Rys. 11.9. Dostęp do opcji utworzonej reguły publikacji serwer typu Non-Web.
Zaawansowane właściwości reguły publikacji serwera typu Non-Web
Na Rys. 11.10. pokazano zakładkę General zaawansowanych właściwości reguły publikacji serwera typu Non-Web. Możemy dokonać zmiany nazwy reguły publikacji oraz dodać opcjonalny (pole Description) opis dodatkowy.
.jpg "Właściwości reguły publikacji serwera SSH — zakładka General")
Rys. 11.10. Właściwości reguły publikacji serwera SSH — zakładka General.
Na Rys. 11.11. zaprezentowano wygląd zakładki Action, określającej działanie reguły (blokowanie lub przepuszczanie) danego ruchu sieciowego. Niestety opcji tej, po utworzeniu reguły, nie można już zmienić. Aby zablokować komunikację, należy po prostu w oknie Właściwości reguły (Rys. 11.9.) wybrać opcję Delete, aby usunąć całą regułę, lub Disable, aby chwilowo ją wyłączyć. Jedyna dodatkowa opcja, to możliwość włączenia lub wyłączenia logowania ruchu dopasowanego do danej reguły. Domyślnie logowanie jest włączone.
.jpg "Właściwości reguły publikacji serwera SSH — zakładka Action")
Rys. 11.11. Właściwości reguły publikacji serwera SSH — zakładka Action.
Ustawienia zakładki Traffic, pokazanej na Rys. 11.12. odpowiadają za zarządzanie protokołami serwerowymi oraz portami wykorzystywanymi w danej regule. Są to te same opcje, które są widoczne na Rys. 11.6.
.jpg "Właściwości reguły publikacji serwera SSH — zakładka Traffic")
Rys. 11.12. Właściwości reguły publikacji serwera SSH — zakładka Traffic.
Zakładka From (Rys. 11.13.) umożliwia określenie źródła ruchu sieciowego (można zdefiniować wyjątki podawane w ramce Exceptions). Element sieciowy – Anywhere to określenie dowolnego źródłowego adresu IPv4, zarówno wewnętrznego, jak i zewnętrznego.
.jpg "Właściwości reguły publikacji serwera SSH — zakładka From")
Rys. 11.13. Właściwości reguły publikacji serwera SSH — zakładka From.
Zakładka To (Rys. 11.14.) umożliwia określenie adresu IPv4 publikowanego serwera.
.jpg "Właściwości reguły publikacji serwera SSH — zakładka To")
Rys. 11.14. Właściwości reguły publikacji serwera SSH — zakładka To.
Zagadnienia z sekcji Request for the published server odpowiadają za konfigurację NAT-owania, określają, czy dla danej reguły ma być włączona pełna funkcjonalność NAT (Full NAT), czy częściowa (Half NAT).
Publishing Rule (ustawienia domyślne) — Half NAT
Rys. 11.15. przedstawia koncepcję pracy funkcjonalności Half NAT przy regule publikacji.
.jpg "Funkcjonalność Half NAT przy regule publikacji — Publishing Rule")
Rys. 11.15. Funkcjonalność Half NAT przy regule publikacji — Publishing Rule.
Funkcjonalność NAT zapewnia dla reguły publikacji tylko zmianę źródłowego adresu IP — jest to zachowanie domyślne określane jako Half NAT. Zagadnienie prezentuje poniższy przykład 11.1.
Przykład 11.1. Tabela konwersji adresów i numerów portów dla reguły publikacji — Half NAT.
| Docelowy IP | Źródłowy IP | Docelowy IP | Źródłowy IP | |
| 192.168.0.1 | 80.50.50.50 | 50.50.50.50 | 80.50.50.50 | |
| Docelowy port | Źródłowy port | Docelowy port | Źródłowy port | |
| 53 | 1025 | 53 | 1025 |
Publishing Rule w trybie Full NAT
Rys. 11.16. przedstawia koncepcję pracy funkcjonalności Full NAT przy regule publikacji.
.jpg "Funkcjonalność Full NAT przy regule publikacji — Publishing Rule")
Rys. 11.16. Funkcjonalność Full NAT przy regule publikacji — Publishing Rule.
Dla reguły publikacji funkcjonalność NAT może zostać również przełączona w tryb Full NAT, wówczas zapewnia zmianę, zarówno źródłowego adresu IP, jak i numeru portu. Zagadnienie to prezentuje poniższy przykład 11.2.
Przykład 11.2. Tabela konwersji adresów i numerów portów dla reguły publikacji — Full NAT.
| Docelowy IP | Źródłowy IP | Docelowy IP | Źródłowy IP | |
| 192.168.0.1 | 192.168.0.254 | 50.50.50.50 | 80.50.50.50 | |
| Docelowy port | Źródłowy port | Docelowy port | Źródłowy port | |
| 53 | 2047 | 53 | 1025 |
Dla reguł publikacji zmiana funkcjonalności NAT realizowana jest przez wybór opcji w zakładce To reguły:
- Requests appear to come from the ISA Server computer (Full NAT; domyślne dla publikacji serwerów Web).
- Requests appear to come from the original client (Half NAT; domyślne dla publikacji serwerów typu non-Web).
Zakładka Networks (przedstawiona na Rys. 11.17.) pozwala na modyfikację listy sieci, z których mogą przychodzić zapytania od klientów SSH. W opisywanym przykładzie zapytania mogą przychodzić od klientów SSH z sieci External.
.jpg "Właściwości reguły publikacji serwera SSH — zakładka Networks")
Rys. 11.17. Właściwości reguły publikacji serwera SSH — zakładka Networks.
Ustawienia z ostatniej zakładki, Schedule, przedstawionej na Rys. 11.18., odpowiadają za działanie reguły zgodnie z określonym tygodniowym harmonogramem czasowym. Domyślny harmonogram to Always.
.jpg "Właściwości reguły publikacji serwera SSH — zakładka Schedule")
Rys. 11.18. Właściwości reguły publikacji serwera SSH — zakładka Schedule.
Podsumowanie
W tej części z cyklu Forefront TMG 2010 przedstawiono publikację najprostszego z typów serwerów, serwer Non-Web. Z zagadnień zaawansowanych przedstawiono mechanizm działania translacji NAT (Full i Half NAT), przy publikowaniu zasobów wewnętrznych przez serwer TMG.
W następnej części tego cyklu zostanie opisany mechanizm publikacji serwerów Web, dla protokołu HTTP, a w kolejnej części – dla protokołu HTTPS.