Einleitung

 

Die alte Website von Citrix hat nicht unbedingt die Firewallregeln ausreichend klar beschrieben. Daher habe ich die Regeln mal selber zusammengestellt. Mittlerweile hat Citrix eine neue Website gebaut, die aber nicht unbedingt besser ist. Den Link findet ihr am Ende des Beitrages in den Quellen.

 

Welcher IP-Adresse (SNIP oder NSIP) muss für die LDAP und Radius Firewallregel als Ursprung genommen werden?

Die NSIP eines jeden Netscaler’s wird immer als Standard genommen. Bei zwei Ausnahmen wird die SNIP genommen.

  1. Wenn die SNIP im gleichen Subnetz ist wie die Authentifizierungsserver.
  2. Wenn die AuthentifizierungsServer in einem LB-Verbund sind.

 

Schematischer Aufbau

 

 

Netscaler Firewall Regeln

Von

Zu

Protokoll und Port

Beschreibung

Administrativer Computer

NSIP’s, und oder SNIP’s

TCP 22

TCP 80

TCP 443

SSH und http/HTTPS Zugriff auf die Netscaler-Konfiguration

NSIP (Standard), SNIP

LDAP Server (Domainkontroller)

TCP 389

TCP 636

Wenn LDAPS benutzt werden soll, müssen die Zertifikate entsprechend konfiguriert sein.

NSIP, SNIP

DNS Server

(Namensauflösung im AD)

TCP 53

UDP 53

  

NSIP (Standard), SNIP

Radius Server

(Zweifaktorauthentifizierung)

UDP 1812

  

NSIP, SNIP

NTP-Server

UDP 123

Zeitserver im Netwerk

Storefront Server (alle)

Netscaler Gateway VIP

TCP 443

Authentifizierung Callback vom Storefront zum Netscaler

SNIP

StoreFront Server oder SF- LB-Adresse

TCP 443

Netscaler Gateway Kommunikation mit Storefront-Server

SNIP

Jeder Desktop Delivery Controller

TCP 80

TCP 443

Wenn SSL benutzt werden soll, müssen die Zertifikate entsprechend konfiguriert sein. STA’s können nicht über einen LB laufen.

SNIP

Jeder Worker (VDA)

TCP 1494

TCP 2598

UDP 1494

UDP 2598

UDP 16500-16509

UDP 3224-3324

  

Extern (Internet)

Netscaler Gateway VIP

TCP 443

UDP 443

  

 

 

 

Quellen:

https://support.citrix.com/article/CTX113250

https://support.citrix.com/article/CTX207661

http://www.carlstalhood.com/netscaler-firewall-rules/