Frage : Spoofed Ausgabe der vordersten Reihe TMG Quellip address

Ich bringe 2 TMG Bediener in eine Reihe an.  Ich versuche die gleiche grundlegende Funktion wie meine 4 Reihe Einjahres-ISA-2006.  Sie sollen für das Veröffentlichen der internen Web site an das DMZ und folglich zum Intenet gewöhnt sein. Sie sitzen hinter der Randbrandmauer und schließen folglich an das DMZ an.  Ich prüfe ein Netz, das rule.

TMG Ausschüße der Anschluss veröffentlicht, weil er die Quelle ermittelt, wie spoofed. Ich habe einige Artikel in den verschiedenen Plätzen gelesen und versucht, die Adressenstrecke für die Quellpakete ist- sicherzustellen im DMZ Netz.  Die Fehlermeldung ist:

Denied 10:25 des Anschlußes GCSTMG02 6/4/2010: 30 morgens
Log Art: Brandmauerservice
Status: Ein Paket wurde fallen gelassen, weil vorderste Reihe TMG feststellte, dass das Quellip address spoofed.  
Rule: Keine - Resultats-Code
Source sehen: DMZ (72.159.133.201: 3648)
Destination: Lokaler Wirt (192.168.100.140: 80)
Protocol: HTTP

The Wegtabelle von einem TMG wird angebracht.

route.txt (3 KBs) (Akten-Art Details)

TMG Wirtsweg table

route.txt (3 KBs) (Akten-Art Details)

TMG Wirts-Weg table

Antwort : Spoofed Ausgabe der vordersten Reihe TMG Quellip address

Die ausführlichen TMG Maschinenbordbücher waren verbunden mit einem technet Artikel sehr nützliches.  Der Configstörung im Maschinenbordbuch waren:

Beschreibung: Die Leitwegtabelle für den Netzadapter DMZ schließt IP addressstrecken ein, die nicht im Kleidenniveau Netz DMZ definiert werden, zu dem er gesprungen wird. Infolgedessen verzeichneten die Pakete, die in diesem Netzadapter von den IP addressstrecken ankommen, unten, oder gesendet zu diesen IP addressstrecken über diesen Netzadapter wird gefallen, wie spoofed. Um diese Ausgabe zu lösen, die fehlenden IP addressstrecken dem Reihennetz hinzufügen.
Die folgenden IP addressstrecken werden fallen gelassen, wie spoofed:
Intern: 10.207.0.0 - 10.207.255.255, 192.168.101.0 - 192.168.251.255, 192.168.252.8 - 192.168.252.254, 192.168.253.0 - 223.255.255.255, 240.0.0.0 - 255.255.255.254;

Das „interne“ Netz bezieht nicht mit den Netzadaptern aufeinander, die ihm gehören.
Strecken im Adapter „Herzschlag“, die nicht „dem internen“ Netz gehören: 10.207.0.0 - 10.207.255.255, 192.168.101.0 - 192.168.251.255, 192.168.252.8 - 223.255.255.255, 240.0.0.0 - 255.255.255.254;
Wenn Netze richtig zusammengebaut werden, müssen die IP addressstrecken, die in jedem Kleidenniveau Netz eingeschlossen sind, alle IP address umfassen, die durch seine Netzadapter entsprechend ihren Leitwegtabellen routable sind. Andernfalls können gültige Pakete fallen gelassen werden, wie spoofed.
Merken, dass dieses Ereignis einmal erzeugt werden kann, nachdem Sie einen Weg addieren, ein Fernaufstellungsortnetz verursachen, oder die balancierende Netz-Last zusammenbauen und sicher ignoriert werden kann, wenn es nicht wieder vorkommt.


Das „interne“ Netz bezieht nicht mit den Netzadaptern aufeinander, die ihm gehören.
Strecken im Adapter „privat“, die nicht „dem internen“ Netz gehören: 10.207.0.0 - 10.207.255.255, 192.168.101.0 - 192.168.251.255, 192.168.252.8 - 223.255.255.255, 240.0.0.0 - 255.255.255.254;
Wenn Netze richtig zusammengebaut werden, müssen die IP addressstrecken, die in jedem Kleidenniveau Netz eingeschlossen sind, alle IP address umfassen, die durch seine Netzadapter entsprechend ihren Leitwegtabellen routable sind. Andernfalls können gültige Pakete fallen gelassen werden, wie spoofed.
Merken, dass dieses Ereignis einmal erzeugt werden kann, nachdem Sie einen Weg addieren, ein Fernaufstellungsortnetz verursachen, oder die balancierende Netz-Last zusammenbauen und sicher ignoriert werden kann, wenn es nicht wieder vorkommt.

Das oben genannte mit http://technet.microsoft.com/en-us/library/cc995185.aspx
Dann war ich, die Adressen in den Netzen und in den Schnittstellen manuell zu justieren, damit TMG nicht als spoofed Pakete blockierte, die erlaubt worden sein sollten.

Hoffen, dass dieses hilft.