Citrix を使用していくつかのアプリケーションを仮想化しようとしています。そのため、Citrix Secure Gateway をインターネットに公開する必要があります (DMZ に配置します)。
私の質問は、どちらの方が良い方法かということです。
- 2つの物理NICを使用。1つはパブリックIP用、もう1つはインターネットプライベートIP用
- 1 つの物理 NIC を使用してそれをプライベート IP に設定し、ファイアウォールでパブリック IP からプライベート IP への NAT 変換を実行しますか?
ありがとう
答え1
別の解決策がある場合は、NAT は使用しないことをお勧めします。また、あなたの状況は NAT を必要とせずに対処できるようです。ファイアウォールに 3 つのネットワーク インターフェイスがある場合は、実行するのはかなり簡単です。
ファイアウォールの外部インターフェイスに 1 つのパブリック IP アドレスを割り当て、DMZ 内のサーバーに別のパブリック IP アドレスを割り当てます。ファイアウォールには、そのサーバーの IP アドレスが DMZ インターフェイスに直接接続されていることを通知する静的ルートが必要です。ファイアウォールの WAN 側のネットワーク構成によっては、サーバーに代わって ARP 要求に応答するようにファイアウォールを構成する必要がある場合もあります。
最後に、他の IP アドレスが LAN 上にあるかインターネット上にあるかに関係なく、サーバーのパブリック IP アドレスと他のホスト間のトラフィックが NAT されないようにファイアウォールを構成する必要があります。ファイアウォールでトラフィックに何らかのステートフル フィルタリングを適用する必要がある場合がありますが、これはこの質問の範囲外です。
これを設定すると、LAN からサーバーへのパケットはファイアウォールに到達し、NAT が発生することなく DMZ に転送されます。同様に、インターネットからのパケットも NAT が発生することなく DMZ に転送されます。
サーバーは NAT を経由せずにインターネットに接続でき、さらに LAN に接続することもできます (ファイアウォールが許可している場合)。この場合も NAT を経由しません。
LAN とサーバー間のパケットは、デフォルト ルートを使用してファイアウォールに到達します。ファイアウォールは各エンドポイントへの特定のルートを持っているため、どのインターフェイスにパケットを転送するかをすぐに認識します。この部分を機能させるために特別な操作は必要ありません。