同じ UAG アプライアンス上で VMware Tunnel と Content Gateway の両サービスを異なるポートを使用してホストする方法

前提条件:

  • AirWatch 9.2+ (コンソールおよび対応する VMware Tunnel、Content Gateway の各インスタンス)
  • Unified Access Gateway 3.1+

:VMware Tunnel プロキシ コンポーネントを使用しつつ Content Gateway の使用ポートを 443 に構成する場合は、TLS ポート共有機能を無効にする必要があります (この制約は UAG の今後のリリースで緩和される予定です)。

 

事前構成の手順:

ベスト プラクティスとして、Unified Access Gateway のインストールの前に以下の手順を実行しておくことを推奨します。

  • TLS ポート共有を無効にします (詳細は UAG のドキュメントを参照)。
  • 次のコマンドを実行して、IP 規則の現在の状態を確認します。
    • iptables -t nat -L
  • 後のステップでの検証に備えて、出力結果をコピーして保存しておきます。
  • 次のコマンドを実行して、ipv4-forwardrules を修正します。
    • vi /opt/vmware/gateway/conf/ipv4-forwardrules
    • 次の行をコメントアウト (該当行の先頭にシャープ記号 (#) を追加) します。
      • -A PREROUTING -p tcp -m tcp --dport 443 -j REDIRECT --to-ports 6443
      • -A OUTPUT -d 127.0.0.1/32 -p tcp -m tcp --dport 443 -j REDIRECT --to-ports 6443
    • これらの行の後に、それぞれ次の行を追加します。
      • -A PREROUTING -p tcp -m tcp --dport 443 -j REDIRECT --to-ports 10443
      • -A OUTPUT -d 127.0.0.1/32 -p tcp -m tcp --dport 443 -j REDIRECT --to-ports 10443
  • 次のコマンドを実行します。
    • iptables-restore /opt/vmware/gateway/conf/ipv4-forwardrules
  • もう一度、次のコマンドを実行します。
    • iptables -t nat -L
  • 前のステップで保存しておいた結果と比較し、ポート 443 が変更されていることを確認します。
    • ポートが変更されていない場合は、サーバを再起動します。
      • reboot now
  • サーバが起動したら、もう一度、次のコマンドを実行します。
    • iptables-restore /opt/vmware/gateway/conf/ipv4-forwardrules
    • iptables -t nat -L

 

以下に、ipv4-forwardrules の最終的な変更結果の例を示します。


*nat
:PREROUTING ACCEPT [5:348]
:INPUT ACCEPT [4:270]
:OUTPUT ACCEPT [2:104]
:POSTROUTING ACCEPT [2:104]
-A PREROUTING -p udp -m udp --dport 443 -j REDIRECT --to-ports 9443
-A PREROUTING -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 8080
#-A PREROUTING -p tcp -m tcp --dport 443 -j REDIRECT --to-ports 6443
-A PREROUTING -p tcp -m tcp --dport 443 -j REDIRECT --to-ports 10443
-A OUTPUT -d 127.0.0.1/32 -p udp -m udp --dport 443 -j REDIRECT --to-ports 9443
-A OUTPUT -d 127.0.0.1/32 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 8080
#-A OUTPUT -d 127.0.0.1/32 -p tcp -m tcp --dport 443 -j REDIRECT --to-ports 6443
-A OUTPUT -d 127.0.0.1/32 -p tcp -m tcp --dport 443 -j REDIRECT --to-ports 10443
COMMIT

これで、UAG 上で両方のサービスを実行できるようになります。

免責事項:これは英文の記事「Hosting the VMware Tunnel and Content Gateway Services on the same UAG Appliance using default Ports」の日本語訳です。記事はベストエフォートで翻訳を進めているため、ローカライズ化コンテンツは最新情報ではない可能性があります。最新情報は英語版の記事で参照してください。

Have more questions? Submit a request

0 Comments

Please sign in to leave a comment.