Après une courte pause nous retournons à la NSX. Aujourd'hui, je vais vous montrer comment configurer le NAT et le pare-feu.
Dans l'onglet Administration accédez à votre centre de données virtuel – Ressources cloud – Centres de données virtuels.
Sélectionnez un onglet Passerelles Edge et cliquez avec le bouton droit sur le NSX Edge souhaité. Dans le menu qui apparaît, sélectionnez l'option Services de passerelle Edge. Le panneau de configuration de NSX Edge s'ouvrira dans un onglet séparé.
Configuration des règles de pare-feu
Par défaut dans l'article règle par défaut pour le trafic entrant L'option Refuser est sélectionnée, c'est-à-dire que le pare-feu bloquera tout le trafic.
Pour ajouter une nouvelle règle, cliquez sur +. Une nouvelle entrée apparaîtra avec le nom Nouvelle règle. Modifiez ses champs selon vos besoins.
Dans l' Nom donnez un nom à la règle, par exemple Internet.
Dans l' Identifier Entrez les adresses sources requises. À l'aide du bouton IP, vous pouvez définir une adresse IP unique, une plage d'adresses IP, CIDR.
En utilisant le bouton +, vous pouvez spécifier d'autres objets :
- Interfaces de passerelle. Tous les réseaux internes (Internal), tous les réseaux externes (External) ou Any.
- Machines virtuelles. Nous lions les règles à une machine virtuelle spécifique.
- Réseaux OrgVdc. Réseaux au niveau de l’organisation.
- Ensembles IP. Un groupe d'utilisateurs pré-créé d'adresses IP (créé dans l'objet Grouping).
Dans l' dentaire indiquer l'adresse du destinataire. Les options ici sont les mêmes que dans le champ Source.
Dans l' Service vous pouvez sélectionner ou spécifier manuellement le port de destination (Port de destination), le protocole requis (Protocole) et le port de l'expéditeur (Port source). Cliquez sur Conserver.
Dans l' Action sélectionnez l'action requise : autoriser ou refuser le trafic qui correspond à cette règle.
Appliquez la configuration saisie en sélectionnant Enregistrer les modifications.
Exemples de règles
Règle 1 pour le pare-feu (Internet) permet d'accéder à Internet via n'importe quel protocole à un serveur avec IP 192.168.1.10.
Règle 2 pour le pare-feu (serveur Web) permet l'accès depuis Internet via (protocole TCP, port 80) via votre adresse externe. Dans ce cas - 185.148.83.16:80.
Configuration NAT
NAT (traduction d'adresse réseau) – traduction des adresses IP privées (grises) en adresses externes (blanches), et vice versa. Grâce à ce processus, la machine virtuelle accède à Internet. Pour configurer ce mécanisme, vous devez configurer les règles SNAT et DNAT.
Important! NAT ne fonctionne que lorsque le pare-feu est activé et que les règles d'autorisation appropriées sont configurées.
Créez une règle SNAT. SNAT (Source Network Address Translation) est un mécanisme dont l'essence est de remplacer l'adresse source lors de l'envoi d'un paquet.
Nous devons d’abord connaître l’adresse IP externe ou la plage d’adresses IP dont nous disposons. Pour cela, rendez-vous dans la rubrique Administration et double-cliquez sur le centre de données virtuel. Dans le menu des paramètres qui apparaît, allez dans l'onglet Passerelle périphériques. Sélectionnez le NSX Edge souhaité et cliquez dessus avec le bouton droit. Choisir une option biens.
Dans la fenêtre qui apparaît, dans l'onglet Sous-allouer des pools IP vous pouvez afficher l'adresse IP externe ou la plage d'adresses IP. Écrivez-le ou souvenez-vous-en.
Ensuite, cliquez avec le bouton droit sur NSX Edge. Dans le menu qui apparaît, sélectionnez l'option Services de passerelle Edge. Et nous sommes de retour dans le panneau de configuration de NSX Edge.
Dans la fenêtre qui apparaît, ouvrez l'onglet NAT et cliquez sur Ajouter SNAT.
Dans la nouvelle fenêtre nous indiquons :
- dans le domaine Appliqué sur – un réseau externe (pas un réseau au niveau de l’organisation !) ;
- IP/plage source d'origine – plage d'adresses internes, par exemple, 192.168.1.0/24 ;
- IP/plage source traduite – l’adresse externe via laquelle Internet sera accessible et que vous avez consultée dans l’onglet Sous-allouer les pools IP.
Cliquez sur Conserver.
Créez une règle DNAT. DNAT est un mécanisme qui modifie l'adresse de destination d'un paquet ainsi que le port de destination. Utilisé pour rediriger les paquets entrants d’une adresse/port externe vers une adresse/port IP privé au sein d’un réseau privé.
Sélectionnez l'onglet NAT et cliquez sur Ajouter DNAT.
Dans la fenêtre qui apparaît, précisez :
— dans le domaine Appliqué sur – un réseau externe (pas un réseau au niveau de l'organisation !) ;
— IP/plage d'origine – adresse externe (adresse de l'onglet Sous-allouer des pools IP) ;
— Protocole – protocole ;
— Port d'origine – port pour l'adresse externe ;
— IP/plage traduite – adresse IP interne, par exemple, 192.168.1.10
— Port traduit – port de l'adresse interne vers lequel le port de l'adresse externe sera traduit.
Cliquez sur Conserver.
Appliquez la configuration saisie en sélectionnant Enregistrer les modifications.
Terminé.
Viennent ensuite les instructions sur DHCP, y compris la configuration des liaisons et du relais DHCP.
Source: habr.com