Configurazione di Citrix Netscaler VPX come un proxy di inoltro
Puoi configurare Citrix Netscaler VPX come un proxy di inoltro. Un proxy di inoltro funge da singolo punto di controllo tra i client su una rete interna e internet. Un proxy consente all'amministratore di rete o di sicurezza di creare criteri che limitano l'accesso ai siti Internet.
Quando un client della rete interna avvia una richiesta, l'indirizzo IP del proxy viene utilizzato per avviare la richiesta al server remoto su Internet. Il server remoto risponde a sua volta al proxy, che restituisce la risposta al client.
Di norma, un proxy è combinato con un firewall per garantire la sicurezza dei client in una rete interna.
Passo 1: Richiedere i VIP da utilizzare nella rete privata
Quando un programma di bilanciamento del carico Citrix Netscaler VPX viene ordinato dal catalogo IBM Cloud, si presume che si stia richiedendo un proxy inverso. Al richiedente viene richiesto il numero di IP "pubblici" da utilizzare come IP virtuali (VIP).
Se esiste un proxy di inoltro, i VIP devono essere configurati sulla rete privata. Richiedi i VIP per la rete privata utilizzando un caso di supporto IBM. Il numero di VIP necessari determina la dimensione della sottorete richiesta nel caso Support. Le informazioni sulla sottorete vengono restituite nel caso Support.
In questo esempio, richiedi una sottorete /29, che risulta nel seguente:
- Creata sottorete
10.114.27.0/29per l'uso come VIP privato - SNIP (Subnet IP)
10.114.52.101e sottorete instradata10.114.27.0/29 - Il team di supporto ha aggiunto i VIP
10.114.27.0-3a Citrix Netscaler VPX
Passo 2: Abilitare le funzioni di bilanciamento del carico e di reindirizzamento della cache su Citrix Netscaler VPX
Per impostazione predefinita, le funzioni di bilanciamento del carico e di reindirizzamento della cache sul programma di bilanciamento del carico Citrix Netscaler VPX sono disabilitate; il comando enable ns feature cr lb le abilita.
Passo 3: Creare il proxy di inoltro
Utilizza la riga di comando per immettere i seguenti comandi su Citrix Netscaler VPX. In questo scenario, viene aggiunto solo uno dei due server DNS IBM Cloud.
add cr vserver vs_forward_cache HTTP 10.114.27.3 80 -cachetype forward -redirect origin
add lb vserver virtual_dns DNS 10.114.27.4 53
add service Real_DNSServer 10.0.80.12 DNS 53
bind lb vserver virtual_dns Real_DNS
set cr vserver vs_forward_cache -dnsVservername virtual_dns
La riga 1 crea la cache di reindirizzamento. Il protocollo è HTTP e 10.114.27.3 è uno dei VIP richiesti sulla rete privata. La porta predefinita è 80 per HTTP, ma poiché questa combinazione di indirizzo e porta è la dichiarazione
proxy del browser, la porta può essere modificata.
La riga 2 aggiunge un VIP di bilanciamento del carico che rappresenta il "vero" DNS.
La riga 3 aggiunge l'indirizzo IP del DNS "reale" come un servizio. Questo indirizzo può essere il DNS del cliente oppure instradato nuovamente ai resolver DNS forniti da IBM Cloud.
La riga 4 associa il VIP al server "reale". Tutte le richieste DNS a 10.114.27.4 vengono inviate a 10.0.80.12.
La riga 5 indica al server virtuale proxy di inoltro di utilizzare il DNS virtuale per la risoluzione dei nomi.
Configurazione del client
Assicurarsi di personalizzare il client per utilizzare il proxy di inoltro, assicurarsi di non poter raggiungere un sito pubblico (ad esempio, http://www.ibm.com) utilizzando il browser Firefox sul client. Poiché non esiste alcuna
interfaccia pubblica sul client, questa richiesta dovrebbe avere esito negativo.
Il seguente esempio configura un client Linux.
È necessario apportare alcune modifiche al client, la prima delle quali è puntare il resolver sul client al DNS virtuale. Questo processo viene eseguito in due modi.
Puoi modificare manualmente /etc/resolv.conf per puntare all'indirizzo virtuale del DNS. Gli strumenti di gestione client possono ripristinare queste modifiche alle impostazioni originali.
In alternativa, puoi modificare l'interfaccia /etc/sysconfig/network-scripts/ifcfg-ethx e aggiungere l'istruzione DNS1=. Una volta impostata questa configurazione, emettere il comando di riavvio della rete di servizi
per acquisire le modifiche.
In entrambi i casi, l'indirizzo IP DNS deve essere configurato come indirizzo DNS virtuale e il browser del client deve essere configurato per puntare le richieste al proxy di inoltro Citrix Netscaler VPX.
Per apportare le modifiche necessarie, esegui le seguenti operazioni in Firefox:
- Fai clic su Preferenze > Avanzate > Rete > Impostazioni connessione.
- Seleziona Configurazione proxy manuale e immetti quanto segue:
- Indirizzo: 10.114.27.3
- Porta: 80
- Seleziona la casella di spunta Utilizza questo server proxy per tutti i protocolli.
- Fai clic su Salva e chiudi la finestra del browser.
L'indirizzo IP 10.114.27.3 è l'indirizzo IP della cache di inoltro creata al punto 1.
La configurazione è completa e si può accedere a Internet dalla risorsa isolata sulla rete privata.
Convalida della configurazione
Ora che il client è configurato per utilizzare il proxy di inoltro, provare ad accedere nuovamente a un sito pubblico. La richiesta dovrebbe ora avere successo.
Puoi usare i seguenti comandi di visualizzazione per convalidare lo stato del proxy di inoltro.
- show cr policy: Visualizza tutte le politiche di reindirizzamento della cache esistenti.
- show policy map: Visualizza i criteri di mappa configurati e le relative informazioni sui criteri di mappa.
- show cr vserver: Visualizza uno specifico server virtuale di reindirizzamento della cache oppure tutti i server virtuali di reindirizzamento della cache configurati.
- stat cr vserver: Visualizza le statistiche del server virtuale di reindirizzamento della cache.
La configurazione di un proxy di inoltro di base su Citrix fornisce un modo per fornire ai client su rete interna un percorso sicuro alle risorse su Internet. Consente anche all'amministratore di rete di mantenere un livello di controllo sulla rete.
Per le implementazioni del sito del cliente, aggiungere un firewall alla configurazione per proteggere ulteriormente le risorse.