Configurar Citrix Netscaler VPX como proxy de reenvío
Puede configurar su Citrix Netscaler VPX como proxy de reenvío. Un proxy directo actúa como un único punto de control entre los clientes en una red interna e Internet. Un proxy permite al administrador de red o de seguridad crear políticas que restringen el acceso a sitios de Internet.
Cuando un cliente de la red interna inicia una solicitud, la dirección IP del proxy se utiliza para iniciar la solicitud al servidor remoto en Internet. El servidor remoto responde a su vez al proxy, que devuelve la respuesta al cliente.
Normalmente, se combina un proxy con un cortafuegos para garantizar la seguridad de los clientes en una red interna.
Paso 1: Solicitar VIP para utilizar en la red privada
Cuando se solicita un equilibrador de carga de Citrix Netscaler VPX desde el catálogo de IBM Cloud, se presupone que se está solicitando un proxy inverso. Se pide al solicitante el número de IP "públicas" que se utilizarán como IP virtuales (VIP).
Si existe un proxy de reenvío, es necesario configurar las VIP en la red privada. Solicite VIPs para la red privada mediante un caso de soporte IBM. El número de VIPs que necesita determina el tamaño de la subred que se solicita en el caso de Soporte. La información de subred se devuelve en el caso de soporte.
En este ejemplo, solicita una subred /29, lo que da como resultado lo siguiente:
- Creada la subred
10.114.27.0/29para su uso como VIPs privados - IP de subred (SNIP)
10.114.52.101y subred direccionada10.114.27.0/29 - El equipo de soporte ha añadido VIPs
10.114.27.0-3a Citrix Netscaler VPX
Paso 2: Habilitar las características de equilibrio de carga y de redirección de memoria caché en Citrix Netscaler VPX
De forma predeterminada, las características de equilibrio de carga y redirección de la memoria caché en el equilibrador de carga de Citrix Netscaler VPX están inhabilitadas. El mandato enable ns feature cr lb las habilita.
Paso 3: Crear el proxy de reenvío
Utilice la línea de mandatos para emitir los mandatos siguientes en el Citrix Netscaler VPX. En este escenario, sólo se añade uno de los dos servidores DNS IBM Cloud.
add cr vserver vs_forward_cache HTTP 10.114.27.3 80 -cachetype forward -redirect origin
add lb vserver virtual_dns DNS 10.114.27.4 53
add service Real_DNSServer 10.0.80.12 DNS 53
bind lb vserver virtual_dns Real_DNS
set cr vserver vs_forward_cache -dnsVservername virtual_dns
La línea 1 crea la memoria caché de redirección. El protocolo es HTTP y 10.114.27.3 es una de las VIP solicitadas en la red privada. El puerto por defecto es 80 para HTTP, pero como esta combinación de dirección y puerto es la declaración
proxy en el navegador, el puerto puede cambiarse.
La línea 2 añade una VIP de equilibrio de carga que representa el DNS "real".
La línea 3 añade la dirección IP del DNS "real" como servicio. Esta dirección puede ser el DNS del cliente o redireccionarse a los servicios de resolución de DNS de IBM Cloud.
La línea 4 enlaza la VIP con el servidor "real". Todas las solicitudes de DNS a 10.114.27.4 se envían a 10.0.80.12.
La línea 5 indica al servidor virtual de proxy de reenvío que utilice el DNS virtual para la resolución de nombres.
Configuración del cliente
Asegúrese de personalizar el cliente para utilizar el proxy de reenvío, asegúrese de que no puede acceder a un sitio público (por ejemplo, http://www.ibm.com) utilizando el navegador Firefox en el cliente. Dado que no existe ninguna
interfaz pública en el cliente, esta solicitud debe fallar.
El ejemplo siguiente configura un cliente Linux.
Tienes que hacer algunos cambios en el cliente, el primero de los cuales es apuntar el resolver en el cliente al DNS virtual. Este proceso se realiza de dos maneras.
Puede editar manualmente el archivo /etc/resolv.conf para que apunte a la dirección virtual del DNS. Las herramientas de gestión de clientes pueden revertir estos cambios a los valores originales.
O puede editar la interfaz /etc/sysconfig/network-scripts/ifcfg-ethx y añadir la sentencia DNS1=. Una vez establecida esta configuración, ejecute el comando service network restart para recoger los cambios.
En cualquier caso, la dirección IP DNS debe configurarse como la dirección DNS virtual, y el navegador del cliente que está configurado para dirigir las solicitudes a la Citrix Netscaler VPX proxy de reenvío.
Utilice los siguientes pasos en Firefox para realizar los cambios necesarios:
- Pulse Preferencias > Avanzado > Red > Configuración de conexión.
- Seleccione Configuración de proxy manual e introduzca lo siguiente:
- Dirección: 10.114.27.3
- Puerto: 80
- Marque el recuadro de selección Utilizar este servidor proxy para todos los protocolos.
- Pulse Guardar y cierre la ventana del navegador.
La dirección IP 10.114.27.3 es la dirección IP de la caché de reenvío que se crea en el paso 1.
La configuración está completa y puede acceder a Internet desde el recurso que está aislado en la red privada.
Validación de la configuración
Ahora que el cliente está configurado para utilizar el proxy de reenvío, intente volver a acceder a un sitio público. La solicitud ahora debería tener éxito.
Los siguientes mandatos de visualización pueden utilizarse para validar el estado del proxy de reenvío.
- show cr policy: Muestra todas las políticas de redirección de memoria caché.
- mostrar mapa de políticas: muestra las políticas de correlación configuradas y la información de política de correlación relacionada.
- show cr vserver: Muestra un servidor virtual de redirección de memoria caché especificado o los muestra todos.
- stat cr vserver: Muestra las estadísticas de servidor virtual de redirección de memoria caché.
La configuración de un proxy de reenvío básico en Citrix proporciona una forma de dar a los clientes de una red interna una vía de acceso segura a los recursos de Internet. También permite al administrador de red mantener un nivel de control sobre la red.
Para las implementaciones de sitio de cliente, añada un cortafuegos a la configuración para proteger más los recursos.