Estou tentando virtualizar alguns aplicativos usando Citrix. então tenho que expor o Citrix Secure Gateway à Internet (colocá-lo em DMZ).
minha pergunta é qual é a melhor prática?
- usando 2 NIC físicas, uma para IP público, uma para IP privado da Internet
- Usando 1 NIC física, configurando-a para IP privado, e deixando meu Firewall fazer uma tradução NAT do IP público para o IP privado?
obrigado
Responder1
Eu evitaria o NAT se houvesse outra solução. E parece que sua situação pode ser resolvida sem a necessidade de NAT. Se o seu firewall tiver três interfaces de rede, isso deve ser bastante simples de fazer.
Você atribui um endereço IP público à interface externa no firewall e atribui outro endereço IP público ao servidor dentro da DMZ. O firewall precisa de uma rota estática informando que o endereço IP desse servidor está conectado diretamente na interface DMZ. Dependendo da configuração de rede no lado WAN do firewall, também pode ser necessário configurar o firewall para responder às solicitações ARP em nome do servidor.
Finalmente, o firewall precisa ser configurado de forma que o tráfego entre o endereço IP público do servidor e outros hosts nunca seja NAT, independentemente de o outro endereço IP estar na LAN ou na Internet. Você ainda pode querer que o firewall aplique alguma filtragem de estado no tráfego, mas isso está fora do escopo desta questão.
Com isso instalado, os pacotes da LAN para o servidor alcançarão o firewall e serão encaminhados para a DMZ sem qualquer NAT, da mesma forma que os pacotes da Internet também serão encaminhados para a DMZ sem qualquer NAT.
O servidor pode fazer conexões com a internet sem passar pelo NAT, além disso pode fazer conexões com a LAN (se o firewall permitir), e isso também não passará por nenhum NAT.
Os pacotes entre a LAN e o servidor usarão a rota padrão para chegar ao firewall, e o firewall terá rotas específicas para cada endpoint, para saber imediatamente em qual interface encaminhar os pacotes. Não são necessários truques para fazer essa parte funcionar.