छोटो ब्रेक पछि हामी NSX मा फर्कन्छौं। आज म तपाईंलाई NAT र फायरवाल कसरी कन्फिगर गर्ने भनेर देखाउनेछु।
ट्याबमा प्रशासन आफ्नो भर्चुअल डाटा सेन्टरमा जानुहोस् - क्लाउड संसाधनहरू - भर्चुअल डाटासेन्टरहरू.
एउटा ट्याब चयन गर्नुहोस् किनारा गेटवेहरू र इच्छित NSX किनारामा दायाँ क्लिक गर्नुहोस्। देखा पर्ने मेनुमा, विकल्प चयन गर्नुहोस् एज गेटवे सेवाहरू। NSX एज कन्ट्रोल प्यानल छुट्टै ट्याबमा खुल्नेछ।
फायरवाल नियमहरू सेट अप गर्दै
वस्तुमा पूर्वनिर्धारित रूपमा प्रवेश ट्राफिकको लागि पूर्वनिर्धारित नियम अस्वीकार विकल्प चयन गरिएको छ, अर्थात् फायरवालले सबै ट्राफिकलाई रोक्नेछ।
नयाँ नियम थप्न + मा क्लिक गर्नुहोस्। नामको साथ नयाँ प्रविष्टि देखा पर्नेछ नयाँ नियम। आफ्नो आवश्यकता अनुसार यसको क्षेत्रहरु सम्पादन गर्नुहोस्।
खेतमा नाम नियमलाई नाम दिनुहोस्, उदाहरणका लागि इन्टरनेट।
खेतमा मुहान आवश्यक स्रोत ठेगानाहरू प्रविष्ट गर्नुहोस्। IP बटन प्रयोग गरेर, तपाईंले एकल IP ठेगाना, IP ठेगानाहरूको दायरा, CIDR सेट गर्न सक्नुहुन्छ।
+ बटन प्रयोग गरेर तपाइँ अन्य वस्तुहरू निर्दिष्ट गर्न सक्नुहुन्छ:
- गेटवे इन्टरफेसहरू। सबै आन्तरिक नेटवर्कहरू (आन्तरिक), सबै बाह्य नेटवर्कहरू (बाह्य) वा कुनै पनि।
- भर्चुअल मेसिनहरू। हामी नियमहरूलाई विशेष भर्चुअल मेसिनमा बाँध्न सक्छौं।
- OrgVdcNetworks। संगठन स्तर नेटवर्कहरू।
- आईपी सेट। IP ठेगानाहरूको पूर्व-सिर्जित प्रयोगकर्ता समूह (ग्रुपिङ वस्तुमा सिर्जना गरिएको)।
खेतमा गन्तव्य प्राप्तकर्ताको ठेगाना संकेत गर्नुहोस्। यहाँ विकल्पहरू स्रोत क्षेत्रमा जस्तै छन्।
खेतमा सेवा तपाईले गन्तव्य पोर्ट (गन्तव्य पोर्ट), आवश्यक प्रोटोकल (प्रोटोकल), र प्रेषक पोर्ट (स्रोत पोर्ट) चयन गर्न वा म्यानुअल रूपमा निर्दिष्ट गर्न सक्नुहुन्छ। Keep मा क्लिक गर्नुहोस्।
खेतमा कार्य आवश्यक कार्य चयन गर्नुहोस्: यो नियमसँग मेल खाने ट्राफिकलाई अनुमति दिनुहोस् वा अस्वीकार गर्नुहोस्।
चयन गरेर प्रविष्ट गरिएको कन्फिगरेसन लागू गर्नुहोस् परिवर्तनहरू सुरक्षित गर्नुहोस्.
नियम उदाहरणहरू
फायरवाल (इन्टरनेट) को लागी नियम 1 IP 192.168.1.10 को साथ सर्भरमा कुनै पनि प्रोटोकल मार्फत इन्टरनेट पहुँच गर्न अनुमति दिन्छ।
फायरवाल (वेब सर्भर) को लागी नियम 2 (TCP प्रोटोकल, पोर्ट 80) तपाईंको बाह्य ठेगाना मार्फत इन्टरनेटबाट पहुँच अनुमति दिन्छ। यस अवस्थामा - 185.148.83.16:80।
NAT सेटअप
NAT (नेटवर्क ठेगाना अनुवाद) - निजी (खैरो) IP ठेगानाहरूको अनुवाद बाह्य (सेतो) व्यक्तिहरूमा, र यसको विपरित। यस प्रक्रिया मार्फत, भर्चुअल मेसिनले इन्टरनेटमा पहुँच प्राप्त गर्दछ। यो संयन्त्र कन्फिगर गर्न, तपाईंले SNAT र DNAT नियमहरू कन्फिगर गर्न आवश्यक छ।
महत्त्वपूर्ण! NAT तब मात्र काम गर्छ जब फायरवाल सक्षम हुन्छ र उपयुक्त अनुमति दिने नियमहरू कन्फिगर गरिन्छ।
SNAT नियम बनाउनुहोस्। SNAT (स्रोत नेटवर्क ठेगाना अनुवाद) एक संयन्त्र हो जसको सार भनेको प्याकेट पठाउँदा स्रोत ठेगाना बदल्नु हो।
पहिले हामीले बाह्य आईपी ठेगाना वा हामीलाई उपलब्ध IP ठेगानाहरूको दायरा पत्ता लगाउन आवश्यक छ। यो गर्न, खण्डमा जानुहोस् प्रशासन र भर्चुअल डाटा सेन्टरमा डबल क्लिक गर्नुहोस्। देखिने सेटिङ मेनुमा, ट्याबमा जानुहोस् किनारा गेटवेs इच्छित NSX किनारा चयन गर्नुहोस् र यसमा दायाँ क्लिक गर्नुहोस्। एक विकल्प चयन गर्नुहोस् गुण.
देखा पर्ने विन्डोमा, ट्याबमा उप-आवंटन आईपी पूलहरू तपाईं बाह्य IP ठेगाना वा IP ठेगानाहरूको दायरा हेर्न सक्नुहुन्छ। यसलाई लेख्नुहोस् वा सम्झनुहोस्।
अर्को, NSX किनारामा दायाँ क्लिक गर्नुहोस्। देखा पर्ने मेनुमा, विकल्प चयन गर्नुहोस् एज गेटवे सेवाहरू। र हामी NSX Edge नियन्त्रण प्यानलमा फर्कियौं।
देखा पर्ने विन्डोमा, NAT ट्याब खोल्नुहोस् र SNAT थप्नुहोस् क्लिक गर्नुहोस्।
नयाँ विन्डोमा हामी संकेत गर्छौं:
- लागू गरिएको क्षेत्रमा - एक बाह्य नेटवर्क (संगठन-स्तर नेटवर्क होइन!);
- मूल स्रोत IP/दायरा - आन्तरिक ठेगाना दायरा, उदाहरणका लागि, 192.168.1.0/24;
- अनुवादित स्रोत आईपी/रेंज - बाह्य ठेगाना जसको माध्यमबाट इन्टरनेट पहुँच गरिनेछ र जसलाई तपाईंले उप-विनियोजन आईपी पूल ट्याबमा हेर्नुभयो।
Keep मा क्लिक गर्नुहोस्।
DNAT नियम बनाउनुहोस्। DNAT एउटा संयन्त्र हो जसले प्याकेटको गन्तव्य ठेगाना र गन्तव्य पोर्ट परिवर्तन गर्दछ। बाह्य ठेगाना/पोर्टबाट निजी नेटवर्क भित्र निजी IP ठेगाना/पोर्टमा आगमन प्याकेटहरू रिडिरेक्ट गर्न प्रयोग गरिन्छ।
NAT ट्याब चयन गर्नुहोस् र DNAT थप्नुहोस् क्लिक गर्नुहोस्।
देखा पर्ने विन्डोमा, निर्दिष्ट गर्नुहोस्:
- लागू गरिएको क्षेत्रमा - एक बाह्य नेटवर्क (संगठन-स्तर नेटवर्क होइन!);
- मूल आईपी/रेंज - बाह्य ठेगाना (सब-आवंटन आईपी पूल ट्याबबाट ठेगाना);
- प्रोटोकल - प्रोटोकल;
- मूल पोर्ट - बाह्य ठेगानाको लागि पोर्ट;
- अनुवादित आईपी/रेंज - आन्तरिक आईपी ठेगाना, उदाहरणका लागि, 192.168.1.10
- अनुवादित पोर्ट - आन्तरिक ठेगानाको लागि पोर्ट जसमा बाह्य ठेगानाको पोर्ट अनुवाद गरिनेछ।
Keep मा क्लिक गर्नुहोस्।
चयन गरेर प्रविष्ट गरिएको कन्फिगरेसन लागू गर्नुहोस् परिवर्तनहरू सुरक्षित गर्नुहोस्.
भयो।
अर्को लाइनमा DHCP मा निर्देशनहरू छन्, DHCP बाइन्डिङ र रिले सेटअप सहित।
स्रोत: www.habr.com