少し休憩した後、NSXに戻ります。 今回はNATとファイアウォールの設定方法を紹介します。
タブ内 管理部門 仮想データセンターに移動します – クラウド リソース – 仮想データセンター.
タブを選択します エッジゲートウェイ をクリックし、目的の NSX Edge を右クリックします。 表示されるメニューでオプションを選択します エッジゲートウェイサービス。 NSX Edge コントロール パネルが別のタブで開きます。
ファイアウォールルールの設定
デフォルトでは項目内にあります イングレストラフィックのデフォルトルール [拒否] オプションが選択されています。つまり、ファイアウォールはすべてのトラフィックをブロックします。
新しいルールを追加するには、+ をクリックします。 新しいエントリが次の名前で表示されます。 新しいルール。 要件に応じてフィールドを編集します。
フィールドで 名前 ルールにインターネットなどの名前を付けます。
フィールドで ソース 必要な送信元アドレスを入力します。 [IP] ボタンを使用すると、単一の IP アドレス、IP アドレスの範囲、CIDR を設定できます。
+ ボタンを使用すると、他のオブジェクトを指定できます。
- ゲートウェイインターフェイス。 すべての内部ネットワーク (内部)、すべての外部ネットワーク (外部)、または [任意]。
- 仮想マシン。 ルールを特定の仮想マシンにバインドします。
- OrgVdcネットワーク。 組織レベルのネットワーク。
- IP セット。 事前に作成された IP アドレスのユーザー グループ (グループ化オブジェクトで作成)。
フィールドで 開催場所 受信者のアドレスを示します。 ここでのオプションは、「ソース」フィールドのオプションと同じです。
フィールドで カスタマーサービス 宛先ポート (Destination Port)、必要なプロトコル (Protocol)、および送信側ポート (Source Port) を選択または手動で指定できます。 「保持」をクリックします。
フィールドで Action 必要なアクションを選択します。このルールに一致するトラフィックを許可または拒否します。
を選択して、入力した構成を適用します。 変更を保存します.
ルールの例
ファイアウォールのルール 1 (インターネット) IP 192.168.1.10 を持つサーバーへの任意のプロトコルを介したインターネットへのアクセスを許可します。
ファイアウォールのルール 2 (Web サーバー) 外部アドレスを介して (TCP プロトコル、ポート 80) 経由でインターネットからアクセスできるようにします。 この場合 - 185.148.83.16:80。
NAT設定
NAT(ネットワークアドレス変換) – プライベート (グレー) IP アドレスから外部 (白) IP アドレスへの変換、またはその逆の変換。 このプロセスを通じて、仮想マシンはインターネットにアクセスできるようになります。 このメカニズムを構成するには、SNAT ルールと DNAT ルールを構成する必要があります。
重要! NAT は、ファイアウォールが有効で、適切な許可ルールが設定されている場合にのみ機能します。
SNAT ルールを作成します。 SNAT (Source Network Address Translation) は、パケット送信時に送信元アドレスを置き換えるメカニズムです。
まず、使用可能な外部 IP アドレスまたは IP アドレスの範囲を確認する必要があります。 これを行うには、セクションに移動してください 管理部門 仮想データセンターをダブルクリックします。 表示される設定メニューで、タブに移動します エッジゲートウェイs. 目的の NSX Edge を選択し、右クリックします。 選択肢一つを選択してください プロパティ.
表示されるウィンドウのタブで IP プールのサブ割り当て 外部 IP アドレスまたは IP アドレスの範囲を表示できます。 書き留めるか、覚えておいてください。
次に、NSX Edge を右クリックします。 表示されるメニューでオプションを選択します エッジゲートウェイサービス。 そして、NSX Edge コントロール パネルに戻りました。
表示されるウィンドウで、[NAT] タブを開き、[SNAT の追加] をクリックします。
新しいウィンドウでは、次のことを示します。
- [適用対象] フィールド – 外部ネットワーク (組織レベルのネットワークではありません!)。
- 元の送信元 IP/範囲 - 内部アドレス範囲 (例: 192.168.1.0/24)。
- 変換されたソース IP/範囲 – インターネットへのアクセスに使用される外部アドレス。[IP プールのサブ割り当て] タブで確認したものです。
「保持」をクリックします。
DNAT ルールを作成します。 DNAT は、パケットの宛先アドレスと宛先ポートを変更するメカニズムです。 外部アドレス/ポートからの受信パケットをプライベート ネットワーク内のプライベート IP アドレス/ポートにリダイレクトするために使用されます。
[NAT] タブを選択し、[DNAT の追加] をクリックします。
表示されるウィンドウで、次のように指定します。
— [適用先] フィールド – 外部ネットワーク (組織レベルのネットワークではありません!)。
— 元の IP/範囲 – 外部アドレス ([IP プールのサブ割り当て] タブからのアドレス)。
— プロトコル – プロトコル。
— 元のポート – 外部アドレス用のポート。
— 変換された IP/範囲 – 内部 IP アドレス、たとえば 192.168.1.10
— 変換済みポート – 外部アドレスのポートが変換される内部アドレスのポート。
「保持」をクリックします。
を選択して、入力した構成を適用します。 変更を保存します.
完了しました。
次に、DHCP バインディングやリレーの設定など、DHCP に関する手順が記載されています。
出所: habr.com