Dopo una breve pausa, torniamo a NSX. Oggi ti mostrerò come configurare NAT e Firewall.
Nella scheda Amministrazione vai al tuo data center virtuale - Risorse cloud - Data center virtuali.
Seleziona una scheda Gateway edge e fai clic con il pulsante destro del mouse sull'NSX Edge desiderato. Nel menu che appare, seleziona l'opzione Servizi gateway perimetrali. Il pannello di controllo di NSX Edge si aprirà in una scheda separata.
Configurazione delle regole del firewall
Per impostazione predefinita al paragrafo regola predefinita per il traffico in entrata l'opzione Nega è selezionata, ovvero il firewall bloccherà tutto il traffico.
Per aggiungere una nuova regola, fai clic su +. Apparirà una nuova voce con il titolo Nuova regola. Modifica i suoi campi in base alle tue esigenze.
Nel campo Nome specificare un nome per la regola, ad esempio Internet.
Nel campo Fonte inserire gli indirizzi di origine richiesti. Facendo clic sul pulsante IP, è possibile impostare un singolo indirizzo IP, un intervallo di indirizzi IP, CIDR.
Facendo clic sul pulsante +, puoi impostare altri oggetti:
- Interfacce gateway. Tutte le reti interne (Internal), tutte le reti esterne (External) o Qualsiasi.
- macchine virtuali. Associamo le regole a una macchina virtuale specifica.
- OrgVdcNetworks. Reti a livello di organizzazione.
- Set IP. Un gruppo di indirizzi IP precedentemente creato dall'utente (creato nell'oggetto Raggruppamento).
Nel campo Nei Dintorni inserire l'indirizzo del destinatario. Qui ci sono le stesse opzioni del campo Fonte.
Nel campo Servizi è possibile selezionare o specificare manualmente la porta di destinazione (Destination Port), il protocollo richiesto (Protocol), la porta del mittente (Source Port). Fare clic su Mantieni.
Nel campo Action selezionare l'azione richiesta: consentire il passaggio del traffico che corrisponde a questa regola o negarlo.
Applicare la configurazione inserita selezionando la voce Salvare le modifiche.
Esempi di regole
Regola 1 per Firewall (Internet) consente l'accesso a Internet con qualsiasi protocollo al server con IP 192.168.1.10.
Regola 2 per Firewall (server web) consente l'accesso da Internet tramite (protocollo TCP, porta 80) tramite il proprio indirizzo esterno. In questo caso, 185.148.83.16:80.
Configurazione NAT
NAT (traduzione dell'indirizzo di rete) - traduzione di indirizzi IP privati (grigi) in indirizzi IP esterni (bianchi) e viceversa. Attraverso questo processo, la macchina virtuale ottiene l'accesso a Internet. Per configurare questo meccanismo, è necessario configurare le regole SNAT e DNAT.
Importante! NAT funziona solo quando il firewall è abilitato e sono configurate le regole di autorizzazione appropriate.
Creare una regola SNAT. SNAT (Source Network Address Translation) è un meccanismo la cui essenza è sostituire l'indirizzo di origine durante l'inoltro di un pacchetto.
Per prima cosa dobbiamo scoprire l'indirizzo IP esterno o l'intervallo di indirizzi IP a nostra disposizione. Per fare questo, vai alla sezione Amministrazione e fare doppio clic sul data center virtuale. Nel menu delle impostazioni che appare, vai alla scheda Gateway perimetraleS. Seleziona l'NSX Edge desiderato e fai clic con il pulsante destro del mouse su di esso. Scegliere un'opzione Properties.
Nella finestra che appare, nella scheda Sottoallocare i pool di IP è possibile visualizzare l'indirizzo IP esterno o l'intervallo di indirizzi IP. Scrivilo o memorizzalo.
Quindi fai clic su NSX Edge con il tasto destro del mouse. Nel menu che appare, seleziona l'opzione Servizi gateway perimetrali. E siamo di nuovo nel pannello di controllo di NSX Edge.
Nella finestra visualizzata, apri la scheda NAT e fai clic su Aggiungi SNAT.
In una nuova finestra, specificare:
- nel campo Applicato su - una rete esterna (non una rete a livello di organizzazione!);
- IP/intervallo di origine originale: intervallo di indirizzi interni, ad esempio 192.168.1.0/24;
- IP / intervallo di origine tradotto: l'indirizzo esterno attraverso il quale si accederà a Internet e che hai esaminato nella scheda Sub-Allocate IP Pools.
Fare clic su Mantieni.
Crea una regola DNAT. DNAT è un meccanismo che modifica l'indirizzo di destinazione di un pacchetto e la porta di destinazione. Utilizzato per inoltrare i pacchetti in entrata da un indirizzo/porta esterno a un indirizzo/porta IP privato all'interno di una rete privata.
Selezionare la scheda NAT e fare clic su Aggiungi DNAT.
Nella finestra che appare, specificare:
- nel campo Applicato su - una rete esterna (non una rete a livello di organizzazione!);
— IP/intervallo originale: indirizzo esterno (indirizzo dalla scheda Sub-allocazione pool IP);
— Protocollo: protocollo;
— Porta originale: porta per l'indirizzo esterno;
- IP/intervallo tradotto: indirizzo IP interno, ad esempio 192.168.1.10
— Translated Port – porta per l'indirizzo interno in cui verrà tradotta la porta dell'indirizzo esterno.
Fare clic su Mantieni.
Applicare la configurazione inserita selezionando la voce Salvare le modifiche.
Fatto.
Il prossimo in linea sono le istruzioni DHCP, inclusa la configurazione di binding DHCP e inoltro.
Fonte: habr.com