Após uma pequena pausa regressamos ao NSX. Hoje vou mostrar como configurar NAT e Firewall.
Na guia Áreas de Suporte vá para o seu data center virtual – Recursos em Nuvem – Datacenters Virtuais.
Selecione uma guia Gateways de borda e clique com o botão direito no NSX Edge desejado. No menu que aparece, selecione a opção Serviços de gateway de borda. O painel de controle do NSX Edge será aberto em uma guia separada.
Configurando regras de Firewall
Por padrão no item regra padrão para tráfego de entrada A opção Negar está selecionada, ou seja, o Firewall bloqueará todo o tráfego.
Para adicionar uma nova regra, clique em +. Uma nova entrada aparecerá com o nome Nova regra. Edite seus campos de acordo com suas necessidades.
No Nome dê um nome à regra, por exemplo Internet.
No fonte Insira os endereços de origem necessários. Usando o botão IP, você pode definir um único endereço IP, um intervalo de endereços IP, CIDR.
Usando o botão + você pode especificar outros objetos:
- Interfaces de gateway. Todas as redes internas (Internas), todas as redes externas (Externas) ou Qualquer.
- Máquinas virtuais. Vinculamos as regras a uma máquina virtual específica.
- OrgVdcNetworks. Redes em nível de organização.
- Conjuntos de IP. Um grupo de usuários pré-criado de endereços IP (criado no objeto Grouping).
No Destino indicar o endereço do destinatário. As opções aqui são as mesmas do campo Fonte.
No e eficaz você pode selecionar ou especificar manualmente a porta de destino (Porta de destino), o protocolo necessário (Protocolo) e a porta do remetente (Porta de origem). Clique em Manter.
No Açao Social selecione a ação necessária: permitir ou negar o tráfego que corresponda a esta regra.
Aplique a configuração inserida selecionando Salvar as alterações .
Exemplos de regras
Regra 1 para Firewall (Internet) permite o acesso à Internet através de qualquer protocolo a um servidor com IP 192.168.1.10.
Regra 2 para Firewall (servidor Web) permite o acesso da Internet via (protocolo TCP, porta 80) através do seu endereço externo. Neste caso - 185.148.83.16:80.
Configuração de NAT
NAT (tradução de endereço de rede) – tradução de endereços IP privados (cinza) para externos (brancos) e vice-versa. Através deste processo, a máquina virtual ganha acesso à Internet. Para configurar este mecanismo, é necessário configurar as regras SNAT e DNAT.
Importante! O NAT só funciona quando o Firewall está habilitado e as regras de permissão apropriadas estão configuradas.
Crie uma regra SNAT. SNAT (Source Network Address Translation) é um mecanismo cuja essência é substituir o endereço de origem ao enviar um pacote.
Primeiro, precisamos descobrir o endereço IP externo ou o intervalo de endereços IP disponíveis para nós. Para fazer isso, vá para a seção Áreas de Suporte e clique duas vezes no data center virtual. No menu de configurações que aparece, vá para a guia Gateway de bordaS. Selecione o NSX Edge desejado e clique com o botão direito nele. Selecione uma opção Propriedades.
Na janela que aparece, na aba Subalocar pools de IP você pode visualizar o endereço IP externo ou intervalo de endereços IP. Escreva ou lembre-se.
Em seguida, clique com o botão direito em NSX Edge. No menu que aparece, selecione a opção Serviços de gateway de borda. E estamos de volta ao painel de controle do NSX Edge.
Na janela que aparece, abra a guia NAT e clique em Adicionar SNAT.
Na nova janela indicamos:
- no campo Aplicado – uma rede externa (não uma rede em nível de organização!);
- IP/intervalo de origem original – intervalo de endereços internos, por exemplo, 192.168.1.0/24;
- IP/intervalo de origem traduzido – o endereço externo através do qual a Internet será acessada e que você consultou na guia Sub-alocar pools de IP.
Clique em Manter.
Crie uma regra DNAT. DNAT é um mecanismo que altera o endereço de destino de um pacote, bem como a porta de destino. Usado para redirecionar pacotes recebidos de um endereço/porta externo para um endereço/porta IP privado dentro de uma rede privada.
Selecione a guia NAT e clique em Adicionar DNAT.
Na janela que aparece, especifique:
— no campo Aplicado – uma rede externa (não uma rede ao nível da organização!);
— IP/intervalo original – endereço externo (endereço da guia Sub-Alocar IP Pools);
— Protocolo – protocolo;
— Porta Original – porta para endereço externo;
— IP/intervalo traduzido – endereço IP interno, por exemplo, 192.168.1.10
— Porta traduzida – porta do endereço interno para a qual a porta do endereço externo será traduzida.
Clique em Manter.
Aplique a configuração inserida selecionando Salvar as alterações .
Concluído.
Em seguida estão as instruções sobre DHCP, incluindo a configuração de ligações e retransmissão de DHCP.
Fonte: habr.com