Пасля невялікага перапынку вяртаемся да NSX. Сёння пакажу, як наладзіць NAT і Firewall.
Ва ўкладцы адміністрацыя перайдзіце ў ваш віртуальны дата-цэнтр - Cloud Resources - Virtual Datacenters.
абярыце ўкладку Edge шлюзы і клікніце на патрэбны NSX Edge правай кнопкай мышы. У якое з'явілася меню абярыце опцыю Edge Gateway Services. Панэль кіравання NSX Edge адчыніцца ў асобнай укладцы.
Настройка правілаў Firewall
Па змаўчанні ў пункце default rule for ingress traffic абраная опцыя Deny, т. е. Firewall будзе блакаваць увесь трафік.
Каб дадаць новае правіла, націсніце +. З'явіцца новы запіс з назвай Новае правіла. Адрэдагуйце яе палі ў адпаведнасці з вашымі патрабаваннямі.
У полі Імя задайце назву правіла, напрыклад Internet.
У полі крыніца увядзіце неабходныя адрасы крыніцы. Па кнопцы IP можна задаць адзінкавы IP-адрас, дыяпазон IP-адрасоў, CIDR.
Па кнопцы + можна задаць іншыя аб'екты:
- Gateway interfaces. Усе ўнутраныя сеткі (Internal), усе вонкавыя сеткі (External) або Any.
- Virtual machines. Прывязваем правілы да вызначанай віртуальнай машыны.
- OrgVdcNetworks. Сеткі ўзроўню арганізацыі.
- IP Sets. Загадзя створаная карыстачом група IP-адрасоў (ствараецца ў Grouping object).
У полі прызначэння укажыце адрас атрымальніка. Тут такія ж опцыі, як і ў полі Source.
У полі абслугоўванне можна абраць ці паказаць уручную порт атрымальніка (Destination Port), неабходны пратакол (Protocol), порт адпраўніка (Source Port). Націсніце Keep.
У полі дзеянне абярыце неабходнае дзеянне: дазволіць праходжанне трафіку, якое адпавядае гэтаму правілу, або забараніць.
Ужывальны ўведзеную канфігурацыю, абраўшы пункт Захаваць змены.
Прыклады правіл
Правіла 1 для Firewall (Internet) дазваляе доступ у Інтэрнэт па любых пратаколах сервера з IP 192.168.1.10.
Правіла 2 для Firewall (Web-server) дазваляе доступ з Інтэрнэту па (ТСР-пратакол, порт 80) праз ваш вонкавы адрас. У дадзеным выпадку - 185.148.83.16:80.
Настройка NAT
NAT (пераклад сеткавага адрасу) - трансляцыя прыватных (шэрых) IP-адрасоў у знешнія (белыя), і наадварот. Дзякуючы гэтаму працэсу віртуальная машына атрымлівае доступ у Інтэрнет. Для наладкі гэтага механізму трэба наладзіць правілы SNAT і DNAT.
Важна! NAT працуе толькі пры ўключаным Firewall і настроеных адпаведных дазваляльных правілах.
Стварэнне правілы SNAT. SNAT (Source Network Address Translation) - механізм, сутнасць якога складаецца ў замене адрасы крыніцы пры перасылцы пакета.
Спачатку трэба даведацца даступны нам вонкавы IP-адрас або дыяпазон IP-адрасоў. Для гэтага зайдзіце ў раздзел адміністрацыя і клікніце двойчы на віртуальны дата-цэнтр. У якое з'явілася меню налад перайдзіце ва ўкладку Шлюз Edges. Абярыце патрэбны NSX Edge і клікніце на яго правай кнопкай мышы. Абярыце опцыю Ўласцівасці.
У якое з'явілася акне ва ўкладцы Sub-Allocate IP Pools вы зможаце паглядзець знешні IP-адрас або дыяпазон IP-адрасоў. Запішыце ці запомніце яго.
Далей клікніце на NSX Edge правай кнопкай мышы. У якое з'явілася меню абярыце опцыю Edge Gateway Services. І мы зноў у панэлі кіравання NSX Edge.
У якое з'явілася акне адчыняны ўкладку NAT і націсканы Add SNAT.
У новым акне паказваем:
- у полі Applied on - знешнюю сетку (не сетка ўзроўню арганізацыі!);
- Original Source IP/range - унутраны дыяпазон адрасоў, напрыклад, 192.168.1.0/24;
- Translated Source IP/range - знешні адрас, праз які будзе ажыццяўляцца выхад у Інтэрнэт і які вы паглядзелі ва ўкладцы Sub-Allocate IP Pools.
Націсніце Keep.
Стварэнне правілы DNAT. DNAT - механізм, які змяняе адрас прызначэння пакета, а таксама порт прызначэння. Выкарыстоўваецца для перанакіравання ўваходзячых пакетаў з вонкавага адраса/порта на прыватны IP-адрас/порт усярэдзіне прыватнай сеткі.
Выбіраемы ўкладку NAT і націсканы Add DNAT.
У якое з'явілася акне пазначце:
- у поле Applied on - знешнюю сетку (не сетку ўзроўню арганізацыі!);
- Original IP/range - знешні адрас (адрас з укладкі Sub-Allocate IP Pools);
- Protocol - пратакол;
- Original Port - порт для знешняга адрасы;
– Translated IP/range – унутраны IP-адрас, напрыклад, 192.168.1.10
- Translated Port - порт для ўнутранага адрасу, у які будзе транслявацца порт знешняга адрасы.
Націсніце Keep.
Ужывальны ўведзеную канфігурацыю, абраўшы пункт Захаваць змены.
Гатова.
Далей на чарзе інструкцыя па DHCP, уключаючы настройку DHCP Bindings і Relay.
Крыніца: habr.com