Forefront TMG 2010 – część 6 - Sieci i reguły sieciowe
.png "Udostępnij na: Facebook")
Autor: Jacek Światowiak
Opublikowano: 2011-05-12
Wprowadzenie
W poprzedniej części omówiono konsolę zarządzania serwerem TMG 2010 Standard Edition. W niniejszej części omówimy zagadnienia konfiguracji sieci w obrębie TMG, w tym tzw. reguły sieciowe – Network Rules.
Konfiguracja sieci i interfejsów wewnętrznych serwera TMG
Przyjrzyjmy się konfiguracji interfejsów sieciowych, jaką pokazano na rysunku 6.1. Dla wygody zmieniono ich nazwy – z mało znaczących na zdecydowanie przyjaźniejsze i chyba w dość oczywisty sposób określające przeznaczenie danego interfejsu sieciowego.
.jpg "Właściwości interfejsów sieciowych przykładowego serwera TMG 2010")
Rysunek 6.1. Właściwości interfejsów sieciowych przykładowego serwera TMG 2010.
Do interfejsów INTERNET-1 i INTERNET-2 celowo przypisano po dwa adresy IPv4, gdyż taka konfiguracja będzie przydatna do omówienia nowego mechanizmu NAT 1:1, dostępnego w TMG 2010. Na rysunku 6.2 pokazano informacje o interfejsach, które są dostępne na poziomie Networking zakładka Network Adapters.
.jpg "Informacje o adresach IPv4 przypisanych do interfejsów sieciowych przykładowego serwera TMG 2010")
Rysunek 6.2. Informacje o adresach IPv4 przypisanych do interfejsów sieciowych przykładowego serwera TMG 2010.
Niestety, obecność tylu interfejsów sieciowych nie przekłada się automatycznie na ilość sieci widocznych przez TMG 2010 (co pokazano na rysunku 6.3 poniżej, gdzie dostępna jest domyślna konfiguracja utworzona przy wyborze w kreatorze konfiguracji opcji Edge Firewall).
.jpg "Informacje o sieciach widocznych przez przykładowy serwer TMG 2010")
Rysunek 6.3.Informacje o sieciach widocznych przez przykładowy serwer TMG 2010.
Należy zatem takie sieci utworzyć. W prawym oknie konsoli z zakładki Tasks należy wybrać kreatora tworzenia nowej sieci – Create a New Network (jak pokazano na rysunku 6.4).
.jpg)
Rysunek 6.4. Opcja zadań dla zakładki Networks.
Dla przykładu utworzymy sieć o nazwie DMZ-1, która będzie powiązana z rzeczywistym interfejsem sieciowym o takiej samej nazwie. Okno wstępne kreatora tworzenia nowej sieci pokazano na rysunku 6.5:
.jpg "Okno wstępne kreatora tworzenia nowej sieci")
Rysunek 6.5. Okno wstępne kreatora tworzenia nowej sieci.
W kolejnym oknie – Network Type (przedstawionym na rysunku 6.6) wybieramy typ sieci. Ten wybór właściwie nie ma większego znaczenia, gdyż nie przekłada się on na jakiekolwiek specyficzne ustawienia. Należy tylko pamiętać, aby adres IPv4 fizycznego interfejsu sieciowego znajdował się w definiowanym zakresie adresów IPv4 danej sieci, gdyż inaczej TMG będzie traktował komunikację z tego adresu IPv4 jako spoofing. W naszym przykładzie wybieramy sieć typu Perimeter (DMZ).
.jpg "Okno wyboru typu sieci")
Rysunek 6.6. Okno wyboru typu sieci.
Analogicznie jak przy kreatorze konfiguracji wstępnej możemy dla danej sieci wybrać zakres związany z fizycznym interfejsem sieciowym, zakres prywatny lub zakres użytkownika. Na przykładzie pokazanym na rysunku 6.7 wybrano zakres związany z interfejsem sieciowym o nazwie DMZ-1.
.jpg "Okno przydzielenia zakresu adresów IPv4 dla tworzonej sieci")
Rysunek 6.7. Okno przydzielenia zakresu adresów IPv4 dla tworzonej sieci.
Ostateczny wygląd okna Network Addresses pokazano na rysunku 6.8:
.jpg "Wygląd okna Network Addresses z przydzielonym zakresem adresów IPv4")
Rysunek 6.8. Wygląd okna Network Addresses z przydzielonym zakresem adresów IPv4.
Ostatnie okno kreatora pominiemy, gdyż nie wnosi ono nic do procesu tworzenia nowej sieci. Na rysunku 6.9 pokazano ostateczny wygląd zakładki Networks, z dwoma zdefiniowanymi sieciami DMZ-1 i DMZ-2.
.jpg "Zmodyfikowany wygląd zakładki Networks")
Rysunek 6.9. Zmodyfikowany wygląd zakładki Networks.
Kolejnym krokiem jest utworzenie tzw. reguł sieciowych. Określają one, z punktu widzenia ruchu sieciowego, wzajemne relacje pomiędzy dwoma (lub więcej) sieciami. Są dwa typy relacji – ROUTE lub NAT. Wygląd domyślny zakładki Network Rules (dla konfiguracji Edge Firewall) przedstawiono na rysunku 6.10:
.jpg "Domyślny wygląd zakładki Network Rules")
Rysunek 6.10. Domyślny wygląd zakładki Network Rules.
Trochę teorii na temat relacji ROUTE i NAT
Reguła ROUTE jest regułą dwukierunkową, tzn. ruch pomiędzy dwoma sieciami może być inicjowany z dowolnej strony i jest w stanie bez zmiany adresów IPv4 (źródłowych i docelowych) dotrzeć do miejsca przeznaczenia. Mechanizm pracy pokazano na rysunku 6.11:
.jpg "Ruch dla reguły ROUTE")
Rysunek 6.11. Ruch dla reguły ROUTE.
Ruch w jednym kierunku
| W sieci przed przejściem przez TMG | W sieci po przejściu przez TMG | ||
| Źródłowy IP | Docelowy IP | Źródłowy IP | Docelowy IP |
| 192.168.0.1 | 80.50.50.50 | 192.168.0.1 | 80.50.50.50 |
Ruch w kierunku przeciwnym
| W sieci przed przejściem przez TMG | W sieci po przejściu przez TMG | ||
| Źródłowy IP | Docelowy IP | Źródłowy IP | Docelowy IP |
| 80.50.50.50 | 192.168.0.1 | 80.50.50.50 | 192.168.0.1 |
Dla reguły NAT jest inaczej – jest to ruch jednokierunkowy inicjowany z określonej sieci do innej, w kierunku odwrotnym nie ma przejścia. Zachowuje się więc jak lustro półprzepuszczalne. Poza tym następuje zmiana adresu źródłowego komunikacji po przejściu przez TMG (po lewej stronie sieć źródłowa, po prawej docelowa). Kolorem czerwonym zaznaczono zmianę adresu źródłowego. Tego typu podejście powoduje ukrycie adresów wewnątrz sieci wewnętrznej – za urządzeniem NAT.
.jpg "Ruch dla reguły NAT")
Rysunek 6.12. Ruch dla reguły NAT.
Ruch w jednym kierunku
| W sieci przed przejściem przez TMG | W sieci po przejściu przez TMG | ||
| Źródłowy IP | Docelowy IP | Źródłowy IP | Docelowy IP |
| 192.168.0.1 | 80.50.50.50 | 50.50.50.50 | 80.50.50.50 |
Do reguł ROUTE i NAT wrócimy jeszcze przez regułach zapory – regułach dostępu i publikacji, gdyż dla obu przypadków występują dodatkowe zagadnienia, w szczególności konwersja numerów portów na warstwie transportowej. W naszym scenariuszu należy zatem określić wzajemne relacje pomiędzy sieciami. Istniejące relacje można modyfikować w razie konieczności, czasami trzeba będzie również tworzyć nowe.
Kreator nowej reguły sieciowej
Jako przykład pokażemy tworzenie reguły sieciowej pomiędzy siecią Internal a siecią DMZ-1. Okno wstępne kreatora pokazano na rysunku 6.13:
.jpg "Okno wstępne kreatora tworzenia nowej reguły sieciowej")
Rysunek 6.13. Okno wstępne kreatora tworzenia nowej reguły sieciowej.
W kolejnym oknie Network TrafficSources (rysunek 6.14) określamy sieć źródłową, z której będzie inicjowany ruch. Dla reguły ROUTE nie ma to znaczenia, gdyż komunikacja w trybie ROUTE jest symetryczna (dwukierunkowa). W przypadku reguły NAT trzeba bardzo precyzyjnie określać, która sieć znajduje się za NAT (jest to wtedy sieć źródłowa).
.jpg "Okno Network TrafficSources kreatora tworzenia nowej reguły sieciowej")
Rysunek 6.14. Okno Network TrafficSources kreatora tworzenia nowej reguły sieciowej.
W kolejnym oknie Network Traffic Destination (rysunek 6.15) określamy sieć docelową, do której będzie inicjowany ruch (uwagi o kierunku analogiczne jak dla okna wcześniejszego).
.jpg "Okno Network TrafficDestination kreatora tworzenia nowej reguły sieciowej")
Rysunek 6.15. Okno Network Traffic Destination kreatora tworzenia nowej reguły sieciowej.
W oknie Network Relationship (rysunek 6.16) określamy właściwą relację sieciową:
.jpg "Okno wyboru typu relacji sieciowej")
Rysunek 6.16. Okno wyboru typu relacji sieciowej.
Przy wyborze opcji ROUTE kreator wyświetla tylko okno podsumowania (którego tu nie zaprezentujemy, gdyż nie wnosi nic do procesu tworzenia reguły). W przypadku wyboru reguły NAT wyświetlone zostanie dodatkowe okno umożliwiające wybór trybu pracy NAT, a dokładniej wybór źródłowego adresu IPv4, z którego będzie realizowana komunikacja po przejściu ruchu sieciowego z sieci do sieci. Okno wyboru trybu pracy NAT pokazano na rysunku 6.17. To właśnie dzięki tej nowej opcji w serwerze TMG 2010 (w stosunku do serwera ISA 2006) możliwa jest realizacja NAT pracującego w trybie 1:1.
.jpg "Okno wyboru trybu pracy NAT")
Rysunek 6.17. Okno wyboru trybu pracy NAT.
Istniejące już reguły sieciowe można modyfikować. Po kliknięciu na określonej regule prawym przyciskiem myszy (jak pokazano na rysunku 6.18) pod opcją Properties pokaże się możliwość modyfikacji reguły.
.jpg "Okno właściwości reguły sieciowej")
Rysunek 6.18. Okno właściwości reguły sieciowej.
Właściwości przykładowej relacji o nazwie Internet Access przedstawiono na rysunku 6.19. W zakładce General można dokonać modyfikacji nazwy, wprowadzić opcjonalne informacje dodatkowe oraz regułę włączyć lub wyłączyć.
.jpg "Zakładka General przykładowej reguły sieciowej")
Rysunek 6.19. Zakładka General przykładowej reguły sieciowej.
W zakładce Source Networks (pokazanej na rysunku 6.20) określamy sieci źródłowe, czyli skąd będzie inicjowany ruch. Należy zauważyć, iż dostępne są teraz wyjątki, które pozwolą na bardziej niestandardowe konfiguracje ruchu. Przykładowo pomiędzy dwiema sieciami będzie reguła NAT, z jednym wyjątkiem, np. dla jednego adresu będzie reguła ROUTE lub ruch z jednego adresu danej sieci będzie wychodził innym adresem źródłowym – przydatne w konfiguracji NAT 1:1. Na rysunku pokazano dodawanie sieci do już istniejącej konfiguracji.
.jpg "ZakładkaSource Network przykładowej reguły sieciowej")
Rysunek 6.20. ZakładkaSource Network przykładowej reguły sieciowej.
W zakładce DestinationNetworks – pokazanej na rysunku 6.21 – określamy sieci docelowe, czyli dokąd będzie inicjowany ruch. Należy zauważyć, iż tu również dostępne są teraz wyjątki, które pozwolą na bardziej niestandardowe konfiguracje ruchu.
.jpg "Zakładka Destination Network przykładowej reguły sieciowej")
Rysunek 6.21. Zakładka Destination Network przykładowej reguły sieciowej.
Zakładki Network Relationship oraz NAT Address Selection (rysunek 6.22) nie różnią się wyglądem od zakładek wykorzystywanych w kreatorze tworzenia reguły sieciowej.
.jpg "Zakładka Network Relationship oraz NAT Address Selection przykładowej reguły sieciowej")
Rysunek 6.22. Zakładka Network Relationship oraz NAT Address Selection przykładowej reguły sieciowej.
Kolejny przykład prezentuje rysunek 6.23. Proszę zwrócić uwagę, że pomiędzy sieciami INTERNAL a DMZ-1 mamy relację ROUTE, a pomiędzy INTERNAL a DMZ-2 regułę NAT.
.jpg "Przykład relacji sieciowych w obrębie serwera TMG 2010")
Rysunek 6.23. Przykład relacji sieciowych w obrębie serwera TMG 2010.
Pozostaje do wyjaśnienia pojęcie w kolumnie NAT Addresses występujące przy regułach NAT. Dostępne są trzy opcje:
- Use the default address – ustawienie domyślne;
- Use the specified IP address – wykorzystywany do precyzyjnego określenia, z jakiego adresu IP ma wychodzić ruch sieciowy – w szczególności dla relacji NAT 1:1. Wyboru adresu dokonuje się w oknie wyboru pokazanym na rysunku 6.24. Oczywiście wyświetlane są tu adresy IP przypisane do interfejsów łączących z określoną siecią – tu w przykładzie z siecią External mamy połączone dwa interfejsy sieciowe, a w każdym po dwa adresy IP, jak pokazano na początku na rysunku 6.2.
.jpg "Wybór indywidualnego wyjściowego adresu IP")
Rysunek 6.24. Wybór indywidualnego wyjściowego adresu IP.
- Use multiple IP address – pozwala na wybór więcej niż jednego źródłowego adresu IP, np. w celu rozkładania obciążenia dla ruchu wychodzącego. Okno wyboru listy adresów źródłowych pokazuje rysunek 6.25.
.jpg "Wybór listy wyjściowych adresów IP")
Rysunek 6.25. Wybór listy wyjściowych adresów IP.
Okno zmodyfikowanej listy reguł sieciowych pokazano na rysunku 6.26. Dla reguły sieciowej INTERNAL do DMZ-2 określono, iż cały ruch sieciowy do tej sieci będzie wychodził z adresu 172.16.200.254.
.jpg "Zmodyfikowana konfiguracja reguły sieciowej INTERNAL -> DMZ-2")
Rysunek 6.26. Zmodyfikowana konfiguracja reguły sieciowej INTERNAL -> DMZ-2.
W ostatnim przykładzie reguł sieciowych pokażemy, jak utworzyć relację NAT 1:1. Z reguły sieciowej tworzącej relację pomiędzy dwiema sieciami należy wykluczyć komputer, dla którego mamy utworzyć relację NAT 1:1 (wykluczenie pokazano na rysunku 6.27). Komputer ten ma adres w sieci INTERNAL – 192.168.0.100.
.jpg "Wykluczenie komputera z relacji sieciowej")
Rysunek 6.27. Wykluczenie komputera z relacji sieciowej.
I teraz należy utworzyć relację sieciową (rysunek 6.28), gdzie w zakładce sieciowej zostanie umieszczony obiekt sieciowy (ale nie będzie to sieć, tylko pojedynczy komputer) – w naszym przypadku komputer o nazwie sieciowej KOMPUTER. Dodatkowo należy zmienić wyjściowy adres IP NAT, np. na 10.200.254.6. W tego typu konfiguracji ruch sieciowy z komputera o adresie wewnętrznym 192.168.0.100 będzie zawsze wychodził z NAT z adresem wyjściowym 10.200.254.6, dzięki czemu mamy relację NAT 1:1
.jpg "Budowanie relacji NAT 1:1")
Rysunek 6.28. Budowanie relacji NAT 1:1.
Należy jeszcze zwrócić uwagę na kolumnę O. (Order). Ruch sieciowy przechodzący przez TMG najpierw jest dopasowywany do reguł sieciowych. O ich kolejności przetwarzania decyduje właśnie kolumna Order. Jeżeli ruch zostanie dopasowany do jakiejś reguły, to pozostałe reguły nie są już uwzględniane, dlatego kolejność reguł można zmieniać. Należy również bardzo precyzyjnie planować budowę i przeznaczenie poszczególnych reguł sieciowych.
Zrozumienie mechanizmu działania relacji ROUTE i NAT jest niezbędne dla późniejszego planowania i budowania reguł zapory: reguł dostępu – Access Rule, i reguł publikacji – Publishing Rule. Mechanizmy te będziemy omawiać w kolejnych częściach.
Bardzo ważne uwagi dodatkowe dotyczące zagadnień wyboru domyślnego adresy wyjściowego opisane są na bloku produktowym Forefront TMG.
Podsumowanie
W tym artykule przedstawiliśmy zagadnienia konfiguracji sieci wewnątrz serwera TMG 2010 oraz ich wzajemnych relacji. W następnej części omówimy zagadnienia dostępu z wnętrza jednych sieci do drugich – tzw. reguły dostępu – Access Rule.