По кратка пауза се враќаме во NSX. Денес ќе ви покажам како да ги конфигурирате NAT и Firewall.
Во јазичето Администрација одете во вашиот виртуелен центар за податоци - Облак ресурси - виртуелни центри за податоци.
Изберете јазиче Врвни порти и кликнете со десното копче на саканиот NSX Edge. Во менито што се појавува, изберете ја опцијата Услуги на Edge Gateway. Контролната табла NSX Edge ќе се отвори во посебен таб.
Поставување правила за заштитен ѕид
Стандардно во ставката стандардно правило за влезен сообраќај Избрана е опцијата Deny, односно Firewall ќе го блокира целиот сообраќај.
За да додадете ново правило, кликнете +. Ќе се појави нов запис со името Ново правило. Уредете ги неговите полиња според вашите барања.
Во областа Име дајте му на правилото име, на пример Интернет.
Во областа извор Внесете ги бараните адреси на изворот. Користејќи го копчето IP, можете да поставите една IP адреса, опсег на IP адреси, CIDR.
Користејќи го копчето + можете да наведете други објекти:
- Интерфејси на портата. Сите внатрешни мрежи (Внатрешни), сите надворешни мрежи (Надворешни) или Било кои.
- Виртуелни машини. Ние ги врзуваме правилата за одредена виртуелна машина.
- OrgVdcNetworks. Мрежи на ниво на организација.
- IP сетови. Претходно креирана корисничка група на IP адреси (создадена во објектот Групирање).
Во областа дестинација наведете ја адресата на примачот. Опциите овде се исти како во полето Извор.
Во областа Сервис можете да изберете или рачно да ја одредите дестинацијата (Дестинација), потребниот протокол (Протокол) и портата на испраќачот (Изворна порта). Кликнете Задржи.
Во областа акција изберете го потребното дејство: дозволете или одбиете сообраќај што одговара на ова правило.
Применете ја внесената конфигурација со избирање Зачувај промени.
Примери за правила
Правило 1 за заштитен ѕид (интернет) овозможува пристап до Интернет преку кој било протокол до сервер со IP 192.168.1.10.
Правило 2 за заштитен ѕид (веб-сервер) овозможува пристап од Интернет преку (TCP протокол, порта 80) преку вашата надворешна адреса. Во овој случај - 185.148.83.16:80.
Поставување NAT
NAT (Превод на мрежна адреса) – превод на приватни (сиви) IP адреси на надворешни (бели) и обратно. Преку овој процес, виртуелната машина добива пристап до Интернет. За да го конфигурирате овој механизам, треба да ги конфигурирате правилата SNAT и DNAT.
Важно! NAT работи само кога е овозможен Firewall и кога се конфигурирани соодветните правила за дозволување.
Создадете правило SNAT. SNAT (Превод на изворна мрежна адреса) е механизам чија суштина е да се замени изворната адреса при испраќање пакет.
Прво треба да ја дознаеме надворешната IP адреса или опсегот на IP адреси што ни се достапни. За да го направите ова, одете во делот Администрација и кликнете двапати на виртуелниот центар за податоци. Во менито за поставки што се појавува, одете на јазичето Edge Gatewayс. Изберете го саканиот NSX Edge и кликнете со десното копче на него. Изберете опција Својства.
Во прозорецот што се појавува, во табулаторот Под-Алоцирајте IP базени можете да ја видите надворешната IP адреса или опсегот на IP адреси. Запишете го или запомнете го.
Следно, кликнете со десното копче на NSX Edge. Во менито што се појавува, изберете ја опцијата Услуги на Edge Gateway. И повторно сме во контролната табла на NSX Edge.
Во прозорецот што се појавува, отворете го табот NAT и кликнете Додај SNAT.
Во новиот прозорец укажуваме:
- во полето Применето на – надворешна мрежа (не мрежа на ниво на организација!);
- Оригинален извор IP/опсег – внатрешен опсег на адреси, на пример, 192.168.1.0/24;
- ИП/опсег на преведен извор – надворешната адреса преку која ќе се пристапи на Интернет и која сте ја погледнале во картичката Sub-Allocate IP Pools.
Кликнете Задржи.
Создадете правило за ДНТ. DNAT е механизам кој ја менува одредишната адреса на пакетот, како и одредишната порта. Се користи за пренасочување на дојдовните пакети од надворешна адреса/порта на приватна IP адреса/порта во приватна мрежа.
Изберете го табот NAT и кликнете Додај DNAT.
Во прозорецот што се појавува, наведете:
— во полето Applied on – надворешна мрежа (не мрежа на ниво на организација!);
— Оригинална IP/опсег – надворешна адреса (адреса од табот Sub-Allocate IP Pools);
— Протокол – протокол;
— Оригинална порта – порта за надворешна адреса;
— Преведена IP/опсег – внатрешна IP адреса, на пример, 192.168.1.10
— Преведена порта – порта за внатрешната адреса на која ќе се преведе портот на надворешната адреса.
Кликнете Задржи.
Применете ја внесената конфигурација со избирање Зачувај промени.
Готово.
Следни се инструкциите за DHCP, вклучително и поставување на DHCP Bindings и Relay.
Извор: www.habr.com