Я пытаюсь виртуализировать некоторые приложения с помощью Citrix. поэтому мне нужно открыть Citrix Secure Gateway для доступа в Интернет (поместить его в DMZ).
у меня вопрос, какая практика лучше?
Спасибо
Я бы избегал NAT, если есть другое решение. И ваша ситуация выглядит так, будто с ней можно справиться без использования NAT. Если ваш брандмауэр имеет три сетевых интерфейса, это должно быть довольно просто.
Вы назначаете один общедоступный IP-адрес внешнему интерфейсу на брандмауэре, а другой общедоступный IP-адрес назначаете серверу внутри DMZ. Брандмауэру нужен статический маршрут, сообщающий ему, что IP-адрес этого сервера напрямую подключен к интерфейсу DMZ. В зависимости от конфигурации сети на стороне WAN брандмауэра вам может также потребоваться настроить брандмауэр для ответа на запросы ARP от имени сервера.
Наконец, брандмауэр необходимо настроить таким образом, чтобы трафик между общедоступным IP-адресом сервера и другими хостами никогда не преобразовывался через NAT, независимо от того, находится ли другой IP-адрес в локальной сети или в Интернете. Вы все равно можете захотеть, чтобы брандмауэр применил некоторую фильтрацию трафика с отслеживанием состояния, но это выходит за рамки этого вопроса.
После этого пакеты из локальной сети на сервер будут достигать межсетевого экрана и перенаправляться в DMZ без использования NAT. Точно так же пакеты из Интернета также будут перенаправляться в DMZ без NAT.
Сервер может подключаться к Интернету без прохождения NAT, кроме того, он может подключаться к локальной сети (если это разрешено брандмауэром), и это также не будет проходить через NAT.
Пакеты между локальной сетью и сервером будут использовать маршрут по умолчанию для достижения брандмауэра, и у брандмауэра будут определенные маршруты к каждой конечной точке, поэтому он сразу знает, на каком интерфейсе пересылать пакеты. Никаких уловок, чтобы заставить эту часть работать.