Sim, finalmente podemos utilizar NAT na públicação do OCS Edge Server. O assunto que antes era motivo de muitas brigas entre nós e o pessoal de segurança (e de fato eles tinham razão) agora não é mais necessário, porem com algumas resalvas.
Em resumo aquela necessidade que antes existia de colocarmos os IPs válidos direto na placa do Edge não existe mais, agora é possivel utilizar NAT, mas como sempre nem tudo é perfeito. É importante salientar que esta solução (NAT) somente pode ser utilizada quando existe apenas um Edge Server no ambiente, o grande problema é que nos grandes cenários, onde a necessidade de segurança é ainda maior não podemos utilizar NAT, pois, cenários com dois ou mais Edge Servers não suportam NAT, isso por causa da necessidade do Hardware Load Balance.
Mas por enquanto vamos com o que temos, o que tenho visto nos clientes, é que antes o cenário de colocar o IP válido direto na placa externa do Edge inviabilizava definitivamente o projeto, porem agora os clientes estão preferindo ter apenas um servidor Edge e não ter redundância, do que não tê-los.
Uma vez decidia a implementação neste cenário, configure o firewall para fazer DNAT da conexões vindas da internet para o Edge e SNAT para conexões vindas do Edge para a internet, isso porque os filtros de entrada e saída precisam mapear o mesmo IP público, como na figura abaixo.
A figura abaixo, mostra o fluxo da comunicação do Edge.
Outra boa notícia, se você irá habilitar federação apenas com parceiros que também tenham OCS R2, abra somente as portas TCP 50000 - 59999 para outbound.
Não é mais necessário abrir TCP e UDP em ambos os sentidos.
Importante: Não é possível utilizar o ISA para fazer este NAT, pois o ISA Server 2006 não suporta NAT estático.
sexta-feira, junho 19, 2009
Assinar:
Postar comentários (Atom)
2 comentários:
Bruno,
Tenho uma dúvida, quando vc diz, na realidade a propria literatura afirma isso: (Não é possível utilizar o ISA para fazer este NAT, pois o ISA Server 2006 não suporta NAT estático), eu entendo, mas, nao elimina a possibilidade de usar o ISA para publicar o EDGE, pois podemos fazer o port-forward normal como fazemos em qualquer firewall, mas, esse procedimento só é inseguro não é mesmo
O maior problema é não ser suportado, já vi funcionar mas já vi não funcionar, e neste caso não é possível abrir um chamado na Microsoft para verificar. Este é o principal problema de estar com um ambiente não suportado oficialmente.
Postar um comentário