Einleitung
Die alte Website von Citrix hat nicht unbedingt die Firewallregeln ausreichend klar beschrieben. Daher habe ich die Regeln mal selber zusammengestellt. Mittlerweile hat Citrix eine neue Website gebaut, die aber nicht unbedingt besser ist. Den Link findet ihr am Ende des Beitrages in den Quellen.
Welcher IP-Adresse (SNIP oder NSIP) muss für die LDAP und Radius Firewallregel als Ursprung genommen werden?
Die NSIP eines jeden Netscaler’s wird immer als Standard genommen. Bei zwei Ausnahmen wird die SNIP genommen.
- Wenn die SNIP im gleichen Subnetz ist wie die Authentifizierungsserver.
- Wenn die AuthentifizierungsServer in einem LB-Verbund sind.
Schematischer Aufbau
Netscaler Firewall Regeln
Von
|
Zu
|
Protokoll und Port
|
Beschreibung
|
Administrativer Computer
|
NSIP’s, und oder SNIP’s
|
TCP 22
TCP 80
TCP 443
|
SSH und http/HTTPS Zugriff auf die Netscaler-Konfiguration
|
NSIP (Standard), SNIP
|
LDAP Server (Domainkontroller)
|
TCP 389
TCP 636
|
Wenn LDAPS benutzt werden soll, müssen die Zertifikate entsprechend konfiguriert sein.
|
NSIP, SNIP
|
DNS Server
(Namensauflösung im AD)
|
TCP 53
UDP 53
|
|
NSIP (Standard), SNIP
|
Radius Server
(Zweifaktorauthentifizierung)
|
UDP 1812
|
|
NSIP, SNIP
|
NTP-Server
|
UDP 123
|
Zeitserver im Netwerk
|
Storefront Server (alle)
|
Netscaler Gateway VIP
|
TCP 443
|
Authentifizierung Callback vom Storefront zum Netscaler
|
SNIP
|
StoreFront Server oder SF- LB-Adresse
|
TCP 443
|
Netscaler Gateway Kommunikation mit Storefront-Server
|
SNIP
|
Jeder Desktop Delivery Controller
|
TCP 80
TCP 443
|
Wenn SSL benutzt werden soll, müssen die Zertifikate entsprechend konfiguriert sein. STA’s können nicht über einen LB laufen.
|
SNIP
|
Jeder Worker (VDA)
|
TCP 1494
TCP 2598
UDP 1494
UDP 2598
UDP 16500-16509
UDP 3224-3324
|
|
Extern (Internet)
|
Netscaler Gateway VIP
|
TCP 443
UDP 443
|
|
Quellen:
https://support.citrix.com/article/CTX113250
https://support.citrix.com/article/CTX207661
http://www.carlstalhood.com/netscaler-firewall-rules/
Noch keine Kommentare