Loading...

Настройка правил NAT и Firewall на NSX Edge

1. NAT (Network Address Translation) – это механизм, позволяющий преобразовывать IP-адреса из приватных (серых) IP-адресов во внешние (белые), и наоборот.

 

Для доступа в интернет нужен белый IP, который будет "маскировать" один или несколько серых IP-адресов.

 

Этот механизм помогает экономить адресное пространство (за одним белым адресом может находиться много серых) и обеспечивать безопасность (ограничивается доступ извне до внутренних хостов).

 

Важно: NAT работает только при включенном Firewall и настроенных соответствующих разрешающих правилах.

 

Для настройки NAT нужно настроить правила SNAT и DNAT:

 

1) SNAT (Source Network Address Translation) – механизм замены адреса источника при пересылке пакета.

 

Шаг 1. Уточните доступный внешний IP-адрес или диапазон IP-адресов. Зайдите в раздел Networking пункт Edges и выберите необходимый Edge.

 

Шаг 2. Посмотрите внешний IP-адрес или диапазон IP-адресов в разделе Sub-Allocate IP Pools. Запишите или запомните его.

Alt

Шаг 3. Нажмите кнопку  Services

Нажмите кнопку  Services

Шаг 4. В появившемся окне откройте вкладку NAT и нажмите + SNAT Rule.

SNAT Rule

Шаг 5. Укажите в новом окне:

  • в поле Applied on – внешнюю сеть (это не сеть уровня организации!);

  • Original Source IP/range – внутренний диапазон адресов, например, 192.168.1.0/24;

  • Translated Source IP/range – внешний IP-адрес, через который будет осуществляться выход в интернет (Шаг 2).

 

Шаг 6. Нажмите Keep.

Alt

2) DNAT – механизм для изменения адреса назначения пакета и порта назначения. Необходим для перенаправления входящих пакетов с внешнего адреса/порта на приватный IP-адрес/порт внутри частной сети.

 

Шаг 1. Выберите вкладку NAT и нажимаем + DNAT Rule.

 

Шаг 2. В появившемся окне укажите:

  • в поле Applied on – внешнюю сеть (это не сеть уровня организации!);
  • Original IP/range – внешний адрес (из вкладки Sub-Allocate IP Pools);
  • Protocol – протокол;
  • Original Port – порт для внешнего адреса;
  • Translated IP/range – внутренний IP-адрес, например, 192.168.1.12;
  • Translated Port – порт для внутреннего адреса, в который будет транслироваться порт внешнего адреса.

 

Шаг 3. Нажмите Keep.

Alt

Шаг 4. Примените введенную конфигурацию, выбрав пункт Save changes.

Save changes

2. Настройка Firewall

 

Firewall или межсетевой экран предназначен для фильтрации (разрешения или запрета) сетевой передачи данных, на основании набора правил. Фаервол используется для защиты сетей от несанкционированного доступа.

 

Для настройки Firewall произведите несколько шагов:

 

Шаг 1. Зайдите в раздел Networking пункт Edges, выберите нужный Edge и нажмите  Services.

нажмите  Services

Шаг 2. В окне настроек сервисов Edge, по умолчанию открывается вкладка Firewall.

 

Шаг 3. По умолчанию в пункте default rule for ingress traffic выбрана опция     Deny, т. е. Firewall будет блокировать весь трафик.

 

Нажмите на пункт Deny, из выпадающего списка выберите значение Accept.

Alt

Шаг 4. Для добавления нового правила, нажмите +. Появится новая запись с названием New rule. Отредактируйте ее под ваши требования.

New rule

Шаг 5. В поле Name задайте название правила, например Internet.

 

Шаг 6. В поле Source введите адреса источника. По кнопке IP можно задать единичный IP-адрес, диапазон IP-адресов, CIDR.

Alt

Шаг 7. В новом окне укадите IP-адрес и нажмите Keep.

Alt

Шаг 8. По кнопке + можно задать другие объекты:

Alt

Объекты:

  • Gateway interfaces. Все внутренние сети (Internal), все внешние сети (External) или Any.
  • Virtual machines. Привязываем правила к определенной виртуальной машине.
  • OrgVdcNetworks. Сети уровня организации.
  • IP Sets. Заранее созданная пользователем группа IP-адресов (создается в Grouping object).
Alt
  • В поле Destination укажите адрес получателя. Опции идентичны полю Source.
  • В поле Service выберите или укажите вручную порт получателя (Destination Port), необходимый протокол (Protocol), порт отправителя (Source Port). Нажмите Keep.
  • В поле Action выберите необходимое действие: разрешить прохождение трафика, соответствующее этому правилу, или запретить.
  • Выберите пункт Save changes для применения введенную конфигурации.

 

Важно: Правило для Firewall (Internet) разрешает доступ в интернет по любым протоколам серверу с IP 192.168.1.10.

Alt