ProHoster > блог > адміністраванне > VMware NSX для самых маленькіх. Частка 2. Настройка Firewall і NAT

VMware NSX для самых маленькіх. Частка 2. Настройка Firewall і NAT

VMware NSX для самых маленькіх. Частка 2. Настройка Firewall і NAT

Частка першая
Пасля невялікага перапынку вяртаемся да NSX. Сёння пакажу, як наладзіць NAT і Firewall.
Ва ўкладцы адміністрацыя перайдзіце ў ваш віртуальны дата-цэнтр - Cloud Resources - Virtual Datacenters.

абярыце ўкладку Edge шлюзы і клікніце на патрэбны NSX Edge правай кнопкай мышы. У якое з'явілася меню абярыце опцыю Edge Gateway Services. Панэль кіравання NSX Edge адчыніцца ў асобнай укладцы.

VMware NSX для самых маленькіх. Частка 2. Настройка Firewall і NAT

Настройка правілаў Firewall

Па змаўчанні ў пункце default rule for ingress traffic абраная опцыя Deny, т. е. Firewall будзе блакаваць увесь трафік.

VMware NSX для самых маленькіх. Частка 2. Настройка Firewall і NAT

Каб дадаць новае правіла, націсніце +. З'явіцца новы запіс з назвай Новае правіла. Адрэдагуйце яе палі ў адпаведнасці з вашымі патрабаваннямі.

VMware NSX для самых маленькіх. Частка 2. Настройка Firewall і NAT

У полі Імя задайце назву правіла, напрыклад Internet.

VMware NSX для самых маленькіх. Частка 2. Настройка Firewall і NAT

У полі крыніца увядзіце неабходныя адрасы крыніцы. Па кнопцы IP можна задаць адзінкавы IP-адрас, дыяпазон IP-адрасоў, CIDR.

VMware NSX для самых маленькіх. Частка 2. Настройка Firewall і NAT

VMware NSX для самых маленькіх. Частка 2. Настройка Firewall і NAT

Па кнопцы + можна задаць іншыя аб'екты:

  • Gateway interfaces. Усе ўнутраныя сеткі (Internal), усе вонкавыя сеткі (External) або Any.
  • Virtual machines. Прывязваем правілы да вызначанай віртуальнай машыны.
  • OrgVdcNetworks. Сеткі ўзроўню арганізацыі.
  • IP Sets. Загадзя створаная карыстачом група IP-адрасоў (ствараецца ў Grouping object).

VMware NSX для самых маленькіх. Частка 2. Настройка Firewall і NAT

VMware NSX для самых маленькіх. Частка 2. Настройка Firewall і NAT

У полі прызначэння укажыце адрас атрымальніка. Тут такія ж опцыі, як і ў полі Source.
У полі абслугоўванне можна абраць ці паказаць уручную порт атрымальніка (Destination Port), неабходны пратакол (Protocol), порт адпраўніка (Source Port). Націсніце Keep.

VMware NSX для самых маленькіх. Частка 2. Настройка Firewall і NAT

VMware NSX для самых маленькіх. Частка 2. Настройка Firewall і NAT

У полі дзеянне абярыце неабходнае дзеянне: дазволіць праходжанне трафіку, якое адпавядае гэтаму правілу, або забараніць.

VMware NSX для самых маленькіх. Частка 2. Настройка Firewall і NAT

Ужывальны ўведзеную канфігурацыю, абраўшы пункт Захаваць змены.

VMware NSX для самых маленькіх. Частка 2. Настройка Firewall і NAT

Прыклады правіл

Правіла 1 для Firewall (Internet) дазваляе доступ у Інтэрнэт па любых пратаколах сервера з IP 192.168.1.10.

Правіла 2 для Firewall (Web-server) дазваляе доступ з Інтэрнэту па (ТСР-пратакол, порт 80) праз ваш вонкавы адрас. У дадзеным выпадку - 185.148.83.16:80.

VMware NSX для самых маленькіх. Частка 2. Настройка Firewall і NAT

Настройка NAT

NAT (пераклад сеткавага адрасу) - трансляцыя прыватных (шэрых) IP-адрасоў у знешнія (белыя), і наадварот. Дзякуючы гэтаму працэсу віртуальная машына атрымлівае доступ у Інтэрнет. Для наладкі гэтага механізму трэба наладзіць правілы SNAT і DNAT.
Важна! NAT працуе толькі пры ўключаным Firewall і настроеных адпаведных дазваляльных правілах.

Стварэнне правілы SNAT. SNAT (Source Network Address Translation) - механізм, сутнасць якога складаецца ў замене адрасы крыніцы пры перасылцы пакета.

Спачатку трэба даведацца даступны нам вонкавы IP-адрас або дыяпазон IP-адрасоў. Для гэтага зайдзіце ў раздзел адміністрацыя і клікніце двойчы на ​​віртуальны дата-цэнтр. У якое з'явілася меню налад перайдзіце ва ўкладку Шлюз Edges. Абярыце патрэбны NSX Edge і клікніце на яго правай кнопкай мышы. Абярыце опцыю Ўласцівасці.

VMware NSX для самых маленькіх. Частка 2. Настройка Firewall і NAT

У якое з'явілася акне ва ўкладцы Sub-Allocate IP Pools вы зможаце паглядзець знешні IP-адрас або дыяпазон IP-адрасоў. Запішыце ці запомніце яго.

VMware NSX для самых маленькіх. Частка 2. Настройка Firewall і NAT

Далей клікніце на NSX Edge правай кнопкай мышы. У якое з'явілася меню абярыце опцыю Edge Gateway Services. І мы зноў у панэлі кіравання NSX Edge.

VMware NSX для самых маленькіх. Частка 2. Настройка Firewall і NAT

У якое з'явілася акне адчыняны ўкладку NAT і націсканы Add SNAT.

VMware NSX для самых маленькіх. Частка 2. Настройка Firewall і NAT

У новым акне паказваем:

  • у полі Applied on - знешнюю сетку (не сетка ўзроўню арганізацыі!);
  • Original Source IP/range - унутраны дыяпазон адрасоў, напрыклад, 192.168.1.0/24;
  • Translated Source IP/range - знешні адрас, праз які будзе ажыццяўляцца выхад у Інтэрнэт і які вы паглядзелі ва ўкладцы Sub-Allocate IP Pools.

Націсніце Keep.

VMware NSX для самых маленькіх. Частка 2. Настройка Firewall і NAT

Стварэнне правілы DNAT. DNAT - механізм, які змяняе адрас прызначэння пакета, а таксама порт прызначэння. Выкарыстоўваецца для перанакіравання ўваходзячых пакетаў з вонкавага адраса/порта на прыватны IP-адрас/порт усярэдзіне прыватнай сеткі.

Выбіраемы ўкладку NAT і націсканы Add DNAT.

VMware NSX для самых маленькіх. Частка 2. Настройка Firewall і NAT

У якое з'явілася акне пазначце:

- у поле Applied on - знешнюю сетку (не сетку ўзроўню арганізацыі!);
- Original IP/range - знешні адрас (адрас з укладкі Sub-Allocate IP Pools);
- Protocol - пратакол;
- Original Port - порт для знешняга адрасы;
– Translated IP/range – унутраны IP-адрас, напрыклад, 192.168.1.10
- Translated Port - порт для ўнутранага адрасу, у які будзе транслявацца порт знешняга адрасы.

Націсніце Keep.

VMware NSX для самых маленькіх. Частка 2. Настройка Firewall і NAT

Ужывальны ўведзеную канфігурацыю, абраўшы пункт Захаваць змены.

VMware NSX для самых маленькіх. Частка 2. Настройка Firewall і NAT

Гатова.

VMware NSX для самых маленькіх. Частка 2. Настройка Firewall і NAT

Далей на чарзе інструкцыя па DHCP, уключаючы настройку DHCP Bindings і Relay.

Крыніца: habr.com

Дадаць каментар