ഒരു ചെറിയ ഇടവേളയ്ക്ക് ശേഷം ഞങ്ങൾ NSX-ലേക്ക് മടങ്ങുന്നു. NAT ഉം Firewall ഉം എങ്ങനെ ക്രമീകരിക്കാമെന്ന് ഇന്ന് ഞാൻ കാണിച്ചുതരാം.
ടാബിൽ ഭരണകൂടം നിങ്ങളുടെ വെർച്വൽ ഡാറ്റാ സെന്ററിലേക്ക് പോകുക - ക്ലൗഡ് റിസോഴ്സ് - വെർച്വൽ ഡാറ്റാസെന്ററുകൾ.
ഒരു ടാബ് തിരഞ്ഞെടുക്കുക എഡ്ജ് ഗേറ്റ്വേകൾ ആവശ്യമുള്ള NSX എഡ്ജിൽ റൈറ്റ് ക്ലിക്ക് ചെയ്യുക. ദൃശ്യമാകുന്ന മെനുവിൽ, ഓപ്ഷൻ തിരഞ്ഞെടുക്കുക എഡ്ജ് ഗേറ്റ്വേ സേവനങ്ങൾ. NSX എഡ്ജ് കൺട്രോൾ പാനൽ ഒരു പ്രത്യേക ടാബിൽ തുറക്കും.
ഫയർവാൾ നിയമങ്ങൾ സജ്ജീകരിക്കുന്നു
ഇനത്തിൽ സ്ഥിരസ്ഥിതിയായി പ്രവേശന ട്രാഫിക്കിനുള്ള ഡിഫോൾട്ട് നിയമം നിരസിക്കുക ഓപ്ഷൻ തിരഞ്ഞെടുത്തു, അതായത് ഫയർവാൾ എല്ലാ ട്രാഫിക്കും തടയും.
ഒരു പുതിയ നിയമം ചേർക്കാൻ, + ക്ലിക്ക് ചെയ്യുക. പേരിനൊപ്പം ഒരു പുതിയ എൻട്രി ദൃശ്യമാകും പുതിയ നിയമം. നിങ്ങളുടെ ആവശ്യങ്ങൾക്കനുസരിച്ച് അതിന്റെ ഫീൽഡുകൾ എഡിറ്റ് ചെയ്യുക.
ഫീൽഡിൽ പേര് നിയമത്തിന് ഒരു പേര് നൽകുക, ഉദാഹരണത്തിന് ഇന്റർനെറ്റ്.
ഫീൽഡിൽ ഉറവിടം ആവശ്യമായ ഉറവിട വിലാസങ്ങൾ നൽകുക. IP ബട്ടൺ ഉപയോഗിച്ച്, നിങ്ങൾക്ക് ഒരൊറ്റ IP വിലാസം, IP വിലാസങ്ങളുടെ ഒരു ശ്രേണി, CIDR എന്നിവ സജ്ജമാക്കാൻ കഴിയും.
+ ബട്ടൺ ഉപയോഗിച്ച് നിങ്ങൾക്ക് മറ്റ് ഒബ്ജക്റ്റുകൾ വ്യക്തമാക്കാൻ കഴിയും:
- ഗേറ്റ്വേ ഇന്റർഫേസുകൾ. എല്ലാ ആന്തരിക നെറ്റ്വർക്കുകളും (ആന്തരികം), എല്ലാ ബാഹ്യ നെറ്റ്വർക്കുകളും (എക്സ്റ്റേണൽ) അല്ലെങ്കിൽ ഏതെങ്കിലും.
- വെർച്വൽ മെഷീനുകൾ. ഒരു പ്രത്യേക വെർച്വൽ മെഷീനിലേക്ക് ഞങ്ങൾ നിയമങ്ങൾ ബന്ധിപ്പിക്കുന്നു.
- OrgVdcNetworks. ഓർഗനൈസേഷൻ ലെവൽ നെറ്റ്വർക്കുകൾ.
- ഐപി സെറ്റുകൾ. IP വിലാസങ്ങളുടെ ഒരു മുൻകൂട്ടി സൃഷ്ടിച്ച ഉപയോക്തൃ ഗ്രൂപ്പ് (ഗ്രൂപ്പിംഗ് ഒബ്ജക്റ്റിൽ സൃഷ്ടിച്ചത്).
ഫീൽഡിൽ ലക്ഷ്യം സ്വീകർത്താവിന്റെ വിലാസം സൂചിപ്പിക്കുക. ഇവിടെയുള്ള ഓപ്ഷനുകൾ സോഴ്സ് ഫീൽഡിലേതിന് സമാനമാണ്.
ഫീൽഡിൽ സേവനം നിങ്ങൾക്ക് ഡെസ്റ്റിനേഷൻ പോർട്ട് (ഡെസ്റ്റിനേഷൻ പോർട്ട്), ആവശ്യമായ പ്രോട്ടോക്കോൾ (പ്രോട്ടോക്കോൾ), സെൻഡർ പോർട്ട് (സോഴ്സ് പോർട്ട്) എന്നിവ തിരഞ്ഞെടുക്കാനോ സ്വമേധയാ വ്യക്തമാക്കാനോ കഴിയും. Keep ക്ലിക്ക് ചെയ്യുക.
ഫീൽഡിൽ ആക്ഷൻ ആവശ്യമായ പ്രവർത്തനം തിരഞ്ഞെടുക്കുക: ഈ നിയമവുമായി പൊരുത്തപ്പെടുന്ന ട്രാഫിക് അനുവദിക്കുകയോ നിരസിക്കുകയോ ചെയ്യുക.
തിരഞ്ഞെടുത്ത് നൽകിയ കോൺഫിഗറേഷൻ പ്രയോഗിക്കുക മാറ്റങ്ങൾ സൂക്ഷിക്കുക.
നിയമ ഉദാഹരണങ്ങൾ
ഫയർവാളിനുള്ള റൂൾ 1 (ഇന്റർനെറ്റ്) IP 192.168.1.10 ഉള്ള ഒരു സെർവറിലേക്ക് ഏതെങ്കിലും പ്രോട്ടോക്കോൾ വഴി ഇന്റർനെറ്റ് ആക്സസ് അനുവദിക്കുന്നു.
ഫയർവാളിനുള്ള റൂൾ 2 (വെബ്-സെർവർ) നിങ്ങളുടെ ബാഹ്യ വിലാസം വഴി (TCP പ്രോട്ടോക്കോൾ, പോർട്ട് 80) വഴി ഇന്റർനെറ്റിൽ നിന്ന് ആക്സസ് അനുവദിക്കുന്നു. ഈ സാഹചര്യത്തിൽ - 185.148.83.16:80.
NAT സജ്ജീകരണം
NAT (നെറ്റ്വർക്ക് വിലാസ വിവർത്തനം) - സ്വകാര്യ (ചാരനിറത്തിലുള്ള) ഐപി വിലാസങ്ങളുടെ വിവർത്തനം ബാഹ്യ (വെളുത്ത) വിലാസങ്ങളിലേക്കും തിരിച്ചും. ഈ പ്രക്രിയയിലൂടെ, വെർച്വൽ മെഷീൻ ഇന്റർനെറ്റിലേക്ക് പ്രവേശനം നേടുന്നു. ഈ സംവിധാനം ക്രമീകരിക്കുന്നതിന്, നിങ്ങൾ SNAT, DNAT നിയമങ്ങൾ ക്രമീകരിക്കേണ്ടതുണ്ട്.
പ്രധാനം! ഫയർവാൾ പ്രവർത്തനക്ഷമമാക്കുകയും ഉചിതമായ അനുവദനീയമായ നിയമങ്ങൾ കോൺഫിഗർ ചെയ്യുകയും ചെയ്യുമ്പോൾ മാത്രമേ NAT പ്രവർത്തിക്കൂ.
ഒരു SNAT നിയമം സൃഷ്ടിക്കുക. ഒരു പാക്കറ്റ് അയയ്ക്കുമ്പോൾ ഉറവിട വിലാസം മാറ്റിസ്ഥാപിക്കുക എന്നതാണ് SNAT (സോഴ്സ് നെറ്റ്വർക്ക് വിലാസ വിവർത്തനം) ഒരു മെക്കാനിസം.
ആദ്യം നമ്മൾ ബാഹ്യ ഐപി വിലാസം അല്ലെങ്കിൽ നമുക്ക് ലഭ്യമായ ഐപി വിലാസങ്ങളുടെ ശ്രേണി കണ്ടെത്തേണ്ടതുണ്ട്. ഇത് ചെയ്യുന്നതിന്, വിഭാഗത്തിലേക്ക് പോകുക ഭരണകൂടം കൂടാതെ വെർച്വൽ ഡാറ്റാ സെന്ററിൽ ഡബിൾ ക്ലിക്ക് ചെയ്യുക. ദൃശ്യമാകുന്ന ക്രമീകരണ മെനുവിൽ, ടാബിലേക്ക് പോകുക എഡ്ജ് ഗേറ്റ്വേഎസ്. ആവശ്യമുള്ള NSX എഡ്ജ് തിരഞ്ഞെടുത്ത് അതിൽ റൈറ്റ് ക്ലിക്ക് ചെയ്യുക. ഒരു ഓപ്ഷൻ തിരഞ്ഞെടുക്കുക പ്രോപ്പർട്ടീസ്.
ദൃശ്യമാകുന്ന വിൻഡോയിൽ, ടാബിൽ ഐപി പൂളുകൾ സബ്-അലോക്കേറ്റ് ചെയ്യുക നിങ്ങൾക്ക് ബാഹ്യ IP വിലാസമോ IP വിലാസങ്ങളുടെ ശ്രേണിയോ കാണാൻ കഴിയും. അത് എഴുതുക അല്ലെങ്കിൽ ഓർക്കുക.
അടുത്തതായി, NSX എഡ്ജിൽ റൈറ്റ് ക്ലിക്ക് ചെയ്യുക. ദൃശ്യമാകുന്ന മെനുവിൽ, ഓപ്ഷൻ തിരഞ്ഞെടുക്കുക എഡ്ജ് ഗേറ്റ്വേ സേവനങ്ങൾ. ഞങ്ങൾ NSX എഡ്ജ് നിയന്ത്രണ പാനലിൽ തിരിച്ചെത്തി.
ദൃശ്യമാകുന്ന വിൻഡോയിൽ, NAT ടാബ് തുറന്ന് SNAT ചേർക്കുക ക്ലിക്കുചെയ്യുക.
പുതിയ വിൻഡോയിൽ ഞങ്ങൾ സൂചിപ്പിക്കുന്നു:
- അപ്ലൈഡ് ഓൺ ഫീൽഡിൽ - ഒരു ബാഹ്യ നെറ്റ്വർക്ക് (ഒരു ഓർഗനൈസേഷൻ-ലെവൽ നെറ്റ്വർക്ക് അല്ല!);
- യഥാർത്ഥ ഉറവിടം IP/ശ്രേണി - ആന്തരിക വിലാസ ശ്രേണി, ഉദാഹരണത്തിന്, 192.168.1.0/24;
- വിവർത്തനം ചെയ്ത ഉറവിട ഐപി/ശ്രേണി - ഇൻറർനെറ്റ് ആക്സസ് ചെയ്യപ്പെടുന്നതും നിങ്ങൾ സബ്-അലോക്കേറ്റ് ഐപി പൂൾസ് ടാബിൽ നോക്കിയതുമായ ബാഹ്യ വിലാസം.
Keep ക്ലിക്ക് ചെയ്യുക.
ഒരു DNAT നിയമം സൃഷ്ടിക്കുക. ഒരു പാക്കറ്റിന്റെ ലക്ഷ്യസ്ഥാന വിലാസവും ലക്ഷ്യസ്ഥാന പോർട്ടും മാറ്റുന്ന ഒരു സംവിധാനമാണ് DNAT. ഒരു ബാഹ്യ വിലാസം/പോർട്ടിൽ നിന്ന് ഒരു സ്വകാര്യ നെറ്റ്വർക്കിനുള്ളിലെ ഒരു സ്വകാര്യ IP വിലാസം/പോർട്ടിലേക്ക് ഇൻകമിംഗ് പാക്കറ്റുകൾ റീഡയറക്ട് ചെയ്യാൻ ഉപയോഗിക്കുന്നു.
NAT ടാബ് തിരഞ്ഞെടുത്ത് Add DNAT ക്ലിക്ക് ചെയ്യുക.
ദൃശ്യമാകുന്ന വിൻഡോയിൽ, വ്യക്തമാക്കുക:
— അപ്ലൈഡ് ഓൺ ഫീൽഡിൽ - ഒരു ബാഹ്യ നെറ്റ്വർക്ക് (ഒരു ഓർഗനൈസേഷൻ-ലെവൽ നെറ്റ്വർക്ക് അല്ല!);
— ഒറിജിനൽ ഐപി/റേഞ്ച് - ബാഹ്യ വിലാസം (സബ്-അലോക്കേറ്റ് ഐപി പൂൾസ് ടാബിൽ നിന്നുള്ള വിലാസം);
- പ്രോട്ടോക്കോൾ - പ്രോട്ടോക്കോൾ;
- യഥാർത്ഥ പോർട്ട് - ബാഹ്യ വിലാസത്തിനുള്ള പോർട്ട്;
— വിവർത്തനം ചെയ്ത IP/റേഞ്ച് - ആന്തരിക IP വിലാസം, ഉദാഹരണത്തിന്, 192.168.1.10
— വിവർത്തനം ചെയ്ത പോർട്ട് - ബാഹ്യ വിലാസത്തിന്റെ പോർട്ട് വിവർത്തനം ചെയ്യപ്പെടുന്ന ആന്തരിക വിലാസത്തിനായുള്ള പോർട്ട്.
Keep ക്ലിക്ക് ചെയ്യുക.
തിരഞ്ഞെടുത്ത് നൽകിയ കോൺഫിഗറേഷൻ പ്രയോഗിക്കുക മാറ്റങ്ങൾ സൂക്ഷിക്കുക.
ചെയ്തുകഴിഞ്ഞു.
ഡിഎച്ച്സിപി ബൈൻഡിംഗുകളും റിലേയും സജ്ജീകരിക്കുന്നതുൾപ്പെടെയുള്ള ഡിഎച്ച്സിപിയിലെ നിർദ്ദേശങ്ങളാണ് അടുത്തത്.
അവലംബം: www.habr.com