Ich versuche, einige Anwendungen mit Citrix zu virtualisieren. Daher muss ich das Citrix Secure Gateway dem Internet zugänglich machen (in DMZ einfügen).
Meine Frage lautet: Was ist die bessere Vorgehensweise?
- Verwendung von 2 physischen Netzwerkkarten, eine für öffentliche IP, eine für private Internet-IP
- Eine physische Netzwerkkarte verwenden, sie auf eine private IP einstellen und meine Firewall eine NAT-Übersetzung von der öffentlichen IP zur privaten IP durchführen lassen?
Danke
Antwort1
Ich würde NAT vermeiden, wenn es eine andere Lösung gibt. Und Ihre Situation klingt, als könnte man sie ohne NAT bewältigen. Wenn Ihre Firewall über drei Netzwerkschnittstellen verfügt, sollte das relativ einfach sein.
Sie weisen der externen Schnittstelle der Firewall eine öffentliche IP-Adresse zu und dem Server innerhalb der DMZ eine weitere öffentliche IP-Adresse. Die Firewall benötigt eine statische Route, die ihr mitteilt, dass die IP-Adresse dieses Servers direkt mit der DMZ-Schnittstelle verbunden ist. Abhängig von der Netzwerkkonfiguration auf der WAN-Seite der Firewall müssen Sie die Firewall möglicherweise auch so konfigurieren, dass sie im Namen des Servers auf ARP-Anfragen antwortet.
Schließlich muss die Firewall so konfiguriert werden, dass der Datenverkehr zwischen der öffentlichen IP-Adresse des Servers und anderen Hosts niemals NAT-gestützt wird, unabhängig davon, ob sich die andere IP-Adresse im LAN oder im Internet befindet. Möglicherweise möchten Sie dennoch, dass die Firewall eine gewisse Statusfilterung auf den Datenverkehr anwendet, aber das liegt außerhalb des Rahmens dieser Frage.
Wenn dies eingerichtet ist, erreichen Pakete vom LAN an den Server die Firewall und werden an die DMZ weitergeleitet, ohne dass ein NAT stattfindet. Ebenso werden Pakete aus dem Internet auch ohne NAT an die DMZ weitergeleitet.
Der Server kann Verbindungen zum Internet herstellen, ohne NAT zu durchlaufen. Darüber hinaus kann er Verbindungen zum LAN herstellen (sofern die Firewall dies zulässt), und diese durchlaufen ebenfalls kein NAT.
Pakete zwischen dem LAN und dem Server verwenden die Standardroute, um die Firewall zu erreichen, und die Firewall verfügt über spezifische Routen zu jedem Endpunkt, sodass sie sofort weiß, über welche Schnittstelle die Pakete weitergeleitet werden müssen. Damit dieser Teil funktioniert, sind keine Tricks erforderlich.