Port Forwarding en Forefront TMG

02/02/2012jimcesseDeja un comentario

Una pregunta muy frecuente que la gente siempre hace cuando nos
referimos a TMG o inclusive ISA Server es como reenviar puertos a una IP
especifica (Port Forwarding).
Un ejemplo muy comn es cuando en nuestra red interna tenemos un
grabador de video digital (DVR) o alguna cmara IP y necesitamos tener
acceso desde de Internet.
En este caso debemos hacer un reenvo de puertos segn sean las necesidades del grabador a
una IP especifica mediante una regla de publicacin de un servidor no web en caso que nuestra
relacin de red entre el segmento donde se encuentre el DVR e Internet sea NAT o caso
contrario una regla de acceso si es ROUTE.
Para ver el escenario, tomaremos como referencia un DVR cualquiera que necesita tres
condiciones para su publicacin:
1. Puerto 1720 en TCP
2. Puerto 60000 y 60001 en TCP
3. Puertos 60000 y 64999 en UDP
Planteemos el escenario:
Imaginemos que nuestra red interna es 192.168.1.0/24 y nuestra red externa
es170.168.1.0/30 y la relacin de red que existe entre ambas redes es de NAT, sea para
este caso especifico traduzco desde y hacia Internet mi red interna en la IP 170.168.1.2, hasta
este punto espero me haya explicado bien el escenario .
Paso 1: Definir los puertos, para ello vamos a la opcin Firewall Policy > Toolbox (a la
derecha de la pantalla) > Protocols > New > Protocol lo cual nos levantara el asistente New
Protocol Definition.

En la primera pantalla nos pide un nombre para el puerto que vamos a definir, en este caso le
llamar DVR-Listener y hacemos clic en siguiente.
En la segunda pantalla definiremos los rangos de los puertos que componen a DVR-
Listenerhaciendo clic en el botn New

Una vez que pulsemos el botn New nos desplegar la ventana para editar los rangos que
requerimos en este caso vamos a usar 1720 en TCP, 60000, 60001 en TCP y 60000 y 64999 en
UDP, tal como se muestra a continuacin

Una aclaracin adicional es que para los puertos TCP la direccin del puerto debe ser Inboundy
para UDP Receive. Luego damos siguiente y cuando nos pregunte si deseamos una conexin
segundaria marcamos que no y luego aceptamos todas las ventanas que tengamos

Paso 2: Regla de Publicacin, ac usaremos un regla de publicacin de un servidor no
webFirewall Policy > Task (a la derecha de la pantalla) > Publish Non-Web Server
Protocols y nos levantara el asistente para hacerlo.

Con el nombre establecido daremos clic en siguiente, para definir la IP del DVR o Cmara IP, en
este caso al DVR le asignaremos 192.168.1.50 y hacemos clic en siguiente

En la siguiente pantalla seleccionaremos el protocolo que creamos anteriormente (DVR-
Listener) y hacemos clic en siguiente

En la prxima pantalla seleccionaremos desde cual red vamos a aceptar solicitudes o desde otro
punto de vista, cual ser el origen de las solicitudes que vamos a aceptar

La siguiente pantalla es un resumen de la configuracin y finalmente pulsamos el
botnFinish para de esta forma ya tenemos el reenvo de puertos configurado.
Como ven esta es la forma que tenemos en ISA Server o TMG para hacer Port Forwarding.