Nei in koarte pauze geane we werom nei de NSX. Hjoed sil ik jo sjen litte hoe't jo NAT en firewall ynstelle.
Yn de ljepper Bestjoer gean nei jo firtuele datasintrum - Cloud Resources - Firtuele datacenters.
Selektearje in ljepper Râne poarten en rjochts-klikke op de winske NSX Edge. Selektearje de opsje yn it menu dat ferskynt Edge Gateway Tsjinsten. It NSX Edge Control Panel sil iepenje yn in aparte ljepper.
Firewall-regels ynstelle
Standert yn item standert regel foar ynkommende ferkear De opsje wegerje is selektearre, dus de Firewall sil alle ferkear blokkearje.
Om in nije regel ta te foegjen, klikje op +. In nije yngong sil ferskine mei de namme Nije regel. Bewurkje syn fjilden neffens jo easken.
Yn fjild namme jou de regel in namme, bygelyks ynternet.
Yn fjild Boarne Fier de fereaske boarne adressen yn. Mei de IP-knop kinne jo ien IP-adres, in berik fan IP-adressen, CIDR ynstelle.
Mei de + knop kinne jo oare objekten opjaan:
- Gateway ynterfaces. Alle ynterne netwurken (ynterne), alle eksterne netwurken (ekstern) of Any.
- Firtuele masines. Wy bine de regels oan in spesifike firtuele masine.
- OrgVdcNetworks. Organisaasjenivo netwurken.
- IP Sets. In foarôf oanmakke brûkersgroep fan IP-adressen (makke yn it Grouping-objekt).
Yn fjild Bestimming jouwe it adres fan de ûntfanger oan. De opsjes hjir binne itselde as yn it fjild Boarne.
Yn fjild Betsjinning jo kinne de bestimmingspoarte (Destination Port), it fereaske protokol (Protokol) en de stjoerderpoarte (Boarnehaven) selektearje of manuell oantsjutte. Klik op Keep.
Yn fjild Aksje selektearje de fereaske aksje: tastean of wegerje ferkear dat oerienkomt mei dizze regel.
Tapasse de ynfierde konfiguraasje troch te selektearjen bewarje feroarings.
Regel foarbylden
Regel 1 foar firewall (ynternet) jout tagong ta it ynternet fia elk protokol nei in server mei IP 192.168.1.10.
Regel 2 foar Firewall (webserver) jout tagong fan it ynternet fia (TCP-protokol, poarte 80) fia jo eksterne adres. Yn dit gefal - 185.148.83.16:80.
NAT opset
NAT (Netwurkadresoersetting) - oersetting fan privee (griis) IP-adressen nei eksterne (wite), en oarsom. Troch dit proses krijt de firtuele masine tagong ta it ynternet. Om dit meganisme te konfigurearjen, moatte jo SNAT- en DNAT-regels ynstelle.
Belangryk! NAT wurket allinich as de Firewall ynskeakele is en de passende tastimmingregels binne ynsteld.
Meitsje in SNAT-regel. SNAT (Source Network Address Translation) is in meganisme wêrfan de essinsje is om it boarneadres te ferfangen by it ferstjoeren fan in pakket.
Earst moatte wy it eksterne IP-adres of berik fan IP-adressen foar ús beskikber fine. Om dit te dwaan, gean nei de seksje Bestjoer en dûbelklikje op it firtuele datasintrum. Yn it ynstellingsmenu dat ferskynt, gean nei de ljepper Edge Gateways. Selektearje de winske NSX Edge en klikje der mei rjochts op. Selektearje in opsje eigenskippen.
Yn it finster dat ferskynt, yn 'e ljepper Sub-allokearje IP Pools jo kinne it eksterne IP-adres as berik fan IP-adressen besjen. Skriuw it op of ûnthâld it.
Rjochts klikke dan op NSX Edge. Selektearje de opsje yn it menu dat ferskynt Edge Gateway Tsjinsten. En wy binne werom yn it NSX Edge-kontrôlepaniel.
Yn it finster dat ferskynt, iepenje it ljepblêd NAT en klikje SNAT taheakje.
Yn it nije finster jouwe wy oan:
- yn it tapast op fjild - in ekstern netwurk (net in netwurk op organisaasjenivo!);
- Original Source IP / berik - ynterne adres berik, bygelyks, 192.168.1.0/24;
- Oersette boarne IP/berik - it eksterne adres wêrmei't it ynternet tagong sil wurde en wêr't jo nei sjoen hawwe yn it ljepblêd Sub-Allocate IP Pools.
Klik op Keep.
Meitsje in DNAT-regel. DNAT is in meganisme dat feroaret it bestimmingsadres fan in pakket en ek de bestimmingspoarte. Wurdt brûkt om ynkommende pakketten troch te lieden fan in ekstern adres/poarte nei in privee IP-adres/poarte binnen in privee netwurk.
Selektearje it ljepblêd NAT en klikje DNAT taheakje.
Spesifisearje yn it finster dat ferskynt:
- yn it tapast op fjild - in ekstern netwurk (net in netwurk op organisaasjenivo!);
- Orizjinele IP / berik - ekstern adres (adres fan it ljepblêd Sub-Allocate IP Pools);
- Protokol - protokol;
- Original Port - haven foar ekstern adres;
- Oersette IP / berik - ynterne IP-adres, bygelyks, 192.168.1.10
- Translated Port - poarte foar it ynterne adres wêr't de poarte fan it eksterne adres nei oerset wurde sil.
Klik op Keep.
Tapasse de ynfierde konfiguraasje troch te selektearjen bewarje feroarings.
Done.
Folgjende yn rigel binne ynstruksjes oer DHCP, ynklusyf it ynstellen fan DHCP Bindings en Relay.
Boarne: www.habr.com