Início > Fore Front TMG 2010 > Configurando Web Publishing com a opção Appears to come from the original client

Configurando Web Publishing com a opção Appears to come from the original client

Saudações,

Em um de nossos clientes trabalhamos com um pool de servidores web com aplicações variadas que são acessadas pelos usuários da rede interna e também externa, ou seja, parceiros e até mesmo os próprios users internos que trabalham de casa.

Conforme ilustra o desenho abaixo, o acesso é feito através de um fluxo onde a conexão passa por um firewall, chega em um servidor TMG e uma regra de publicação WEB envia a requisição para o web server que hospeda a aplicação.

Veja fluxo abaixo:

 

image

No servidor TMG, temos duas interfaces, sendo um para a rede interna e outra para rede externa. Os acessos vindos da rede interna chegam através de um IP de NAT (o qual chamamos aqui de Nat Interno), passando antes por um firewall e finalmente sendo direcionado pelo web publishing do TMG para o web server. Os acessos externos fazem fluxo semelhante e também entram por um IP de NAT publicado na internet (o qual chamamos de Nat Externo).

Por norma interna do cliente, IP´s vindos da rede interna não podem rotear IP´s da DMZ, onde estão estes servidores WEB, porém, o contrário ocorre. Algumas dessas aplicações usam de web services para puxar informações de bases de dados internas.

Da mesma forma, o TMG também roteia todas as redes internas com rotas estáticas.

O intuito deste post é compartilhar com vocês uma solicitação da área de desenvolvimento do cliente que nos informou da necessidade de saber o IP de origem através da aplicação. Da forma como está, só é possível receber o IP do próprio TMG.

Isso porque na regra de publicação ficou definido a opção “Requests appear to come from the Forefront TMG computer”. Conforme imagem abaixo:

TMG

Desta maneira, a perspectiva do IP de origem da conexão é o próprio servidor TMG. Isto significa que o servidor de destino sequer necessita de acesso internet próprio (para as chamadas externas), pois tudo que necessita é responder o IP interno do proxy. Além disso, este servidor não tem idéia de quem é o real usuário daquela conexão.

Para obter o IP do client de origem, é necessario alterar na publicação para a opção “Requests appear to come from the original client”, conforme imagem abaixo:

Client

Com esta opção selecionada, a perspectiva do IP de origem é o IP usado pelo usuário da aplicação. O servidor de destino precisará de um acesso internet (para as chamadas externas) e roteamento para as redes de onde estão surgindo as requisições.

O servidor de destino não negocia nenhum pacote com o TMG. Ele negocia diretamente com o servidor de aplicação.

Não se pode simplesmente alterar a opção no publishing e esperar que funcione corretamente. É necessário verificar todo o fluxo da sua rede e entender se a opção é passível de ser usada.

Na maioria dos casos é recomendado que o servidor de destino seja um SecureNat Client do TMG, ou seja, que tenha o IP do TMG cadastrado como seu default gateway.

No nosso caso, como o TMG possui rotas estáticas para as redes internas efetuei um teste simplesmente alterando a configuração no publishing, porém, não foi possível fazer funcionar por alguns problemas ocorridos no momento do servidor WEB responder o IP do usuário da origem.

Em análise feita com a equipe responsável pelos firewalls, foram verificados alguns erros no tráfego. Esses erros não ocorrem pela infra estrutura em si, mas, a forma como a mesma está definida requer uma outra solução (vide desenho no começo do post).

Efetuei testes a noite colocando o TMG como gateway de um dos webservers e novamente alterei a regra. Dessa vez os testes ocorreram de forma satisfatória.

Ainda iremos apresentar os resultados ao cliente para que o mesmo decida de forma irá agir, mas, fica para os leitores mais uma boa experiência com o Forefront TMG.

Meu amigo Fabiano Cese foi o analista que ajudou com a análise e um dos responsáveis pela conclusão deste post…além disso, é o profissional que recorrem em momentos de dúvidas. Ainda espero ver um blog dele mostrando grandes soluções.

Meu obrigado ao Yuri Diógenes pelas dicas e esclarecimentos da parte do TMG passadas via twitter!

Abraços

Uilson

Categorias:Fore Front TMG 2010
  1. 13 de setembro de 2011 às 22:08

    Uilson, gostei dessa parte: …”Em análise feita com a equipe responsável pelos firewalls, foram verificados alguns erros por conta da forma como a infra estrutura está montada (vide desenho no começo do post).”…

    Isso significa que nao sera necessario utilizar uma solucao opensource, certo? E onde ficam os meus creditos por ter ajudado? hehehe, Outra coisa, parebens pelo post… oitma solucao para problemas que existem de verdade….

    Abracos.

    • 14 de setembro de 2011 às 9:39

      Caro vanmarle, a conclusão deste post só ocorreu graças a sua ajuda…sem ela, nem teria postado. Uma coisa que preciso fazer é rever a maneira de escrever, pois, as vezes causa interpretação diferente daquilo que quis dizer.
      A solução open source, neste caso é a saída para evitarmos alterações mais complicadas e criação de pontos de falha, mas, como não as domino, prefiro não falar sobre elas.
      Além disso, o erro a que me referi não é na infra estrutura ou no TMG e sim nos erros reportados no momento dos testes, mas, pela forma como a infra está montada, a solução de open source é a mais indicada.
      Vou dar uma corrigida no post.
      Abraços

    • 14 de setembro de 2011 às 9:53

      Apenas para registrar…já coloquei sei nome no post dando os créditos e alterei algumas linhas…veja se está ok agora! abs!

  1. No trackbacks yet.

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s

%d blogueiros gostam disto: