Después de un breve descanso, volvemos a NSX. Hoy les mostraré cómo configurar NAT y Firewall.
En la pestaña Administración vaya a su centro de datos virtual - Recursos en la nube - Centros de datos virtuales.
Seleccione una pestaña Puertas de enlace de borde y haga clic con el botón derecho en el NSX Edge deseado. En el menú que aparece, seleccione la opción Servicios de puerta de enlace perimetral. El panel de control de NSX Edge se abrirá en una pestaña separada.
Configuración de reglas de cortafuegos
Por defecto en el párrafo regla predeterminada para el tráfico de entrada la opción Denegar está seleccionada, es decir, el Firewall bloqueará todo el tráfico.
Para agregar una nueva regla, haga clic en +. Aparecerá una nueva entrada con el título Nueva regla. Edite sus campos según sus requisitos.
En el campo Nombre especifique un nombre para la regla, como Internet.
En el campo Fuente ingrese las direcciones de origen requeridas. Al hacer clic en el botón IP, puede configurar una sola dirección IP, un rango de direcciones IP, CIDR.
Al hacer clic en el botón +, puede configurar otros objetos:
- Interfaces de puerta de enlace. Todas las redes internas (Interno), todas las redes externas (Externo) o Cualquiera.
- maquinas virtuales. Vinculamos las reglas a una máquina virtual específica.
- OrgVdcNetworks. Redes a nivel de organización.
- Conjuntos de IP. Un grupo de direcciones IP creadas previamente por el usuario (creadas en el objeto Agrupación).
En el campo Destino ingrese la dirección del destinatario. Aquí están las mismas opciones que en el campo Fuente.
En el campo Service puede seleccionar o especificar manualmente el puerto de destino (Puerto de destino), el protocolo requerido (Protocolo), el puerto del remitente (Puerto de origen). Haz clic en Conservar.
En el campo la columna Acción seleccione la acción requerida: permitir el paso de tráfico que coincida con esta regla, o denegarlo.
Aplicar la configuración ingresada seleccionando el ítem Guardar los cambios.
Ejemplos de reglas
Regla 1 para Firewall (Internet) permite el acceso a Internet por cualquier protocolo al servidor con IP 192.168.1.10.
Regla 2 para cortafuegos (servidor web) permite el acceso desde Internet vía (protocolo TCP, puerto 80) a través de su dirección externa. En este caso, 185.148.83.16:80.
configuración NAT
NAT (traducción de direcciones de red) - traducción de direcciones IP privadas (grises) a externas (blancas), y viceversa. A través de este proceso, la máquina virtual obtiene acceso a Internet. Para configurar este mecanismo, debe configurar las reglas SNAT y DNAT.
¡Importante! NAT funciona solo cuando el Firewall está habilitado y las reglas de permisos apropiadas están configuradas.
Cree una regla SNAT. SNAT (traducción de direcciones de red de origen) es un mecanismo cuya esencia es reemplazar la dirección de origen al reenviar un paquete.
Primero, debemos averiguar la dirección IP externa o el rango de direcciones IP disponibles para nosotros. Para hacer esto, vaya a la sección Administración y haga doble clic en el centro de datos virtual. En el menú de configuración que aparece, vaya a la pestaña Puerta de enlace perimetrals. Seleccione el NSX Edge deseado y haga clic derecho sobre él. Elige una opcion Propiedades.
En la ventana que aparece, en la pestaña Subasignar grupos de IP puede ver la dirección IP externa o el rango de direcciones IP. Escríbelo o memorízalo.
A continuación, haga clic en NSX Edge con el botón derecho del mouse. En el menú que aparece, seleccione la opción Servicios de puerta de enlace perimetral. Y estamos de vuelta en el panel de control de NSX Edge.
En la ventana que aparece, abra la pestaña NAT y haga clic en Agregar SNAT.
En una nueva ventana, especifique:
- en el campo Aplicado en: una red externa (¡no una red a nivel de organización!);
- Rango/IP de origen original: rango de direcciones internas, por ejemplo, 192.168.1.0/24;
- Rango/IP de origen traducido: la dirección externa a través de la cual se accederá a Internet y que miró en la pestaña Subasignar grupos de IP.
Haz clic en Conservar.
Cree una regla DNAT. DNAT es un mecanismo que cambia la dirección de destino de un paquete, así como el puerto de destino. Se utiliza para reenviar paquetes entrantes desde una dirección/puerto externo a una dirección/puerto IP privado dentro de una red privada.
Seleccione la pestaña NAT y haga clic en Agregar DNAT.
En la ventana que aparece, especifique:
- en el campo Aplicado en - una red externa (¡no una red a nivel de organización!);
— Rango/IP original: dirección externa (dirección de la pestaña Subasignar grupos de IP);
— Protocolo—protocolo;
— Puerto original: puerto para dirección externa;
- IP/rango traducido - dirección IP interna, por ejemplo, 192.168.1.10
— Puerto traducido: puerto para la dirección interna a la que se traducirá el puerto de la dirección externa.
Haz clic en Conservar.
Aplicar la configuración ingresada seleccionando el ítem Guardar los cambios.
Finalizar.
Lo siguiente en la línea son las instrucciones de DHCP, incluida la configuración de enlaces y retransmisión de DHCP.
Fuente: habr.com