Настройка правил NAT и Firewall на NSX-T Edge

1. NAT (Network Address Translation) – это механизм, позволяющий преобразовывать IP-адреса из приватных (серых) IP-адресов во внешние (белые), и наоборот.

Для доступа в интернет нужен белый IP, который будет «маскировать» один или несколько серых IP-адресов.

Этот механизм помогает экономить адресное пространство (за одним белым адресом может находиться много серых) и обеспечивать безопасность (ограничивается доступ извне ко внутренним хостам).

Для настройки NAT нужно настроить правила SNAT и DNAT:

Важно: при создании NAT-правил обращать внимание на настройку Advanced Settings поле Firewall Match, при указании Bypass правило не будет проходить через Firewall.

1) SNAT (Source Network Address Translation) – механизм замены адреса источника при пересылке пакета.

Шаг 1. Уточните доступный внешний IP-адрес или диапазон IP-адресов. Зайдите в раздел Networking пункт Edge Gateways и выберите необходимый Edge.

Шаг 2. Посмотрите внешний IP-адрес или диапазон IP-адресов в разделе IP Management пункт IP Allocations столб IP Range. Запишите или запомните его.

Шаг 3. Зайдите в раздел Services пункт NAT и нажмите NEW.

Шаг 4. В появившемся окне в поле Interface Type выберите SNAT.

  • Name – задаем имя нашему правилу.
  • External IP – внешний адрес, который мы смотрели в IP Range.
  • Internal IP – внутренний диапазон адресов, например, 192.168.0.0/24.

Нажимаем SAVE.

2) DNAT – механизм для изменения адреса назначения пакета и порта назначения. Необходим для перенаправления входящих пакетов с внешнего адреса/порта на приватный IP-адрес/порт внутри частной сети.

Важно: при открытии порта указывайте Application: без его указания правило будет действовать как трансляция адреса в адрес и снаружи будут доступны все порты.

Для создания Application зайдите в Security → Application Port Profile в поле Custom Applications нажмите NEW.

Задайте Name и Ports.

Шаг 1. Зайдите в раздел Services пункт NAT и нажмите NEW.

Шаг 2. В в Interface Type оставляем DNAT.

  • Name – задаем имя нашему правилу.
  • External IP – внешний адрес, который мы смотрели в IP Range.
  • External Port – порт, который мы хотим открыть, к примеру, 54234 SSH.
  • Internal IP – IP нашей VM, на который будет открыть порт, например, 192.168.0.7.

Нажимаем SAVE.

2. Настройка Firewall

Firewall или межсетевой экран предназначен для фильтрации (разрешения или запрета) сетевой передачи данных на основании набора правил. Фаервол используется для защиты сетей от несанкционированного доступа.

Для настройки Firewall произведите несколько шагов:

Шаг 1. Зайдите в раздел Networking пункт Edge Gateways и выберите необходимый Edge.

Шаг 2. Зайдите в раздел Security и пункт IP Sets.

Нажмите на NEW и добавьте пул/ip адрес(а), к примеру, внутренней сети, который задали, – 192.168.0.0/24.

Шаг 3. Зайдите в раздел Services пункт Firewall и нажмите EDIT RULES.

Шаг 4. Для добавления нового правила нажмите NEW ON TOP. Появится новая запись. Указываете имя, в Source выбираете созданный IP Set, в  Destination указываете Any и нажмите SAVE.