Na een korte pauze keren we terug naar de NSX. Vandaag laat ik je zien hoe je NAT en Firewall configureert.
Op het tabblad Administratie ga naar uw virtuele datacenter – Cloudbronnen – Virtuele datacentra.
Selecteer een tabblad Edge-gateways en klik met de rechtermuisknop op de gewenste NSX Edge. Selecteer de optie in het menu dat verschijnt Edge Gateway-services. Het NSX Edge-configuratiescherm wordt op een apart tabblad geopend.
Firewallregels instellen
Standaard in artikel standaardregel voor inkomend verkeer De optie Weigeren is geselecteerd, d.w.z. dat de Firewall al het verkeer blokkeert.
Om een nieuwe regel toe te voegen, klikt u op +. Er verschijnt een nieuw item met de naam Nieuwe regel. Bewerk de velden volgens uw vereisten.
In het veld Naam geef de regel een naam, bijvoorbeeld Internet.
In het veld bron Voer de vereiste bronadressen in. Met de IP-knop kunt u een enkel IP-adres, een reeks IP-adressen en CIDR instellen.
Met de knop + kunt u andere objecten opgeven:
- Gateway-interfaces. Alle interne netwerken (Intern), alle externe netwerken (Extern) of Alle.
- Virtuele machines. We binden de regels aan een specifieke virtuele machine.
- OrgVdcNetwerken. Netwerken op organisatieniveau.
- IP-sets. Een vooraf gemaakte gebruikersgroep met IP-adressen (gemaakt in het groeperingsobject).
In het veld Bestemming het adres van de ontvanger vermelden. De opties hier zijn dezelfde als in het veld Bron.
In het veld Service u kunt de bestemmingspoort (Destination Port), het vereiste protocol (Protocol) en de afzenderpoort (Source Port) selecteren of handmatig opgeven. Klik op Behouden.
In het veld Actie selecteer de vereiste actie: verkeer toestaan of weigeren dat aan deze regel voldoet.
Pas de ingevoerde configuratie toe door te selecteren Wijzigingen opslaan.
Regel voorbeelden
Regel 1 voor firewall (internet) maakt toegang tot internet mogelijk via elk protocol naar een server met IP 192.168.1.10.
Regel 2 voor Firewall (webserver) maakt toegang vanaf internet mogelijk via (TCP-protocol, poort 80) via uw externe adres. In dit geval - 185.148.83.16:80.
NAT-installatie
NAT (netwerkadresvertaling) – vertaling van privé (grijze) IP-adressen naar externe (witte) adressen, en omgekeerd. Via dit proces krijgt de virtuele machine toegang tot internet. Om dit mechanisme te configureren, moet u SNAT- en DNAT-regels configureren.
Belangrijk! NAT werkt alleen als de firewall is ingeschakeld en de juiste toestemmingsregels zijn geconfigureerd.
Maak een SNAT-regel. SNAT (Source Network Address Translation) is een mechanisme waarvan de essentie is om het bronadres te vervangen bij het verzenden van een pakket.
Eerst moeten we het externe IP-adres of de reeks IP-adressen achterhalen die voor ons beschikbaar zijn. Ga hiervoor naar de sectie Administratie en dubbelklik op het virtuele datacenter. Ga in het instellingenmenu dat verschijnt naar het tabblad Edge-gatewayS. Selecteer de gewenste NSX Edge en klik er met de rechtermuisknop op. Kies een optie Properties.
In het venster dat verschijnt, op het tabblad Subtoewijzing van IP-pools u kunt het externe IP-adres of het bereik van IP-adressen bekijken. Schrijf het op of onthoud het.
Klik vervolgens met de rechtermuisknop op NSX Edge. Selecteer de optie in het menu dat verschijnt Edge Gateway-services. En we zijn terug in het NSX Edge-configuratiescherm.
Open in het venster dat verschijnt het tabblad NAT en klik op SNAT toevoegen.
In het nieuwe venster geven we aan:
- in het veld Applied on – een extern netwerk (geen netwerk op organisatieniveau!);
- Origineel bron-IP/bereik – intern adresbereik, bijvoorbeeld 192.168.1.0/24;
- Vertaald bron-IP/bereik – het externe adres waarmee toegang wordt verkregen tot internet en dat u hebt bekeken op het tabblad Sub-IP-pools toewijzen.
Klik op Behouden.
Maak een DNAT-regel. DNAT is een mechanisme dat zowel het bestemmingsadres van een pakket als de bestemmingspoort verandert. Wordt gebruikt om inkomende pakketten van een extern adres/poort om te leiden naar een privé IP-adres/poort binnen een particulier netwerk.
Selecteer het tabblad NAT en klik op DNAT toevoegen.
Geef in het venster dat verschijnt het volgende op:
— in het veld Toegepast op – een extern netwerk (geen netwerk op organisatieniveau!);
— Origineel IP/bereik – extern adres (adres uit het tabblad Sub-IP-pools toewijzen);
— Protocol – protocol;
— Originele poort – poort voor extern adres;
— Vertaald IP/bereik – intern IP-adres, bijvoorbeeld 192.168.1.10
— Vertaalde poort – poort voor het interne adres waarnaar de poort van het externe adres zal worden vertaald.
Klik op Behouden.
Pas de ingevoerde configuratie toe door te selecteren Wijzigingen opslaan.
Klaar.
Hierna volgen instructies over DHCP, inclusief het instellen van DHCP-bindingen en relais.
Bron: www.habr.com