ProHoster > Блог > адміністрування > VMware NSX для найменших. Частина 2. Налаштування Firewall та NAT

VMware NSX для найменших. Частина 2. Налаштування Firewall та NAT

VMware NSX для найменших. Частина 2. Налаштування Firewall та NAT

Частина перша
Після невеликої перерви повертаємося до NSX. Сьогодні покажу, як налаштувати NAT та Firewall.
У вкладці адміністрація перейдіть у ваш віртуальний дата-центр Cloud Resources – Virtual Datacenters.

Виберіть вкладку Граничні шлюзи та клацніть на потрібний NSX Edge правою кнопкою миші. У меню виберіть опцію Edge Gateway Services. Панель керування NSX Edge відкриється в окремій вкладці.

VMware NSX для найменших. Частина 2. Налаштування Firewall та NAT

Налаштування правил Firewall

За замовчуванням у пункті default rule for ingress traffic обрана опція Deny, тобто Firewall блокуватиме весь трафік.

VMware NSX для найменших. Частина 2. Налаштування Firewall та NAT

Щоб додати нове правило, натисніть +. З'явиться новий запис під назвою Нове правило. Відредагуйте її поля відповідно до ваших вимог.

VMware NSX для найменших. Частина 2. Налаштування Firewall та NAT

В полі ІМ'Я вкажіть назву правила, наприклад Internet.

VMware NSX для найменших. Частина 2. Налаштування Firewall та NAT

В полі Source введіть потрібні адреси джерела. На кнопці IP можна задати одиничну IP-адресу, діапазон IP-адрес, CIDR.

VMware NSX для найменших. Частина 2. Налаштування Firewall та NAT

VMware NSX для найменших. Частина 2. Налаштування Firewall та NAT

На кнопці + можна задати інші об'єкти:

  • Gateway interfaces. Усі внутрішні мережі (Internal), всі зовнішні мережі (External) чи Any.
  • Virtual machines. Прив'язуємо правила до певної віртуальної машини.
  • OrgVdcNetworks. Мережі рівня організації.
  • IP Sets. Заздалегідь створена користувачем група IP-адрес (створюється Grouping object).

VMware NSX для найменших. Частина 2. Налаштування Firewall та NAT

VMware NSX для найменших. Частина 2. Налаштування Firewall та NAT

В полі призначення вкажіть адресу одержувача. Тут такі самі опції, як і в полі Source.
В полі Обслуговування можна вибрати або вказати вручну порт отримувача (Destination Port), необхідний протокол (Protocol), порт відправника (Source Port). Натисніть кнопку Keep.

VMware NSX для найменших. Частина 2. Налаштування Firewall та NAT

VMware NSX для найменших. Частина 2. Налаштування Firewall та NAT

В полі дію виберіть потрібну дію: дозволити проходження трафіку, що відповідає цьому правилу, або заборонити.

VMware NSX для найменших. Частина 2. Налаштування Firewall та NAT

Застосовуємо введену конфігурацію, вибравши пункт зберегти зміни.

VMware NSX для найменших. Частина 2. Налаштування Firewall та NAT

Приклади правил

Правило 1 для Firewall (Internet) дозволяє доступ до Інтернету за будь-якими протоколами серверу з IP 192.168.1.10.

Правило 2 для Firewall (Web-server) дозволяє доступ з Інтернету (ТСР-протокол, порт 80) через вашу зовнішню адресу. У цьому випадку – 185.148.83.16:80.

VMware NSX для найменших. Частина 2. Налаштування Firewall та NAT

Налаштування NAT

NAT (переклад мережевої адреси) - трансляція приватних (сірих) IP-адрес у зовнішні (білі), і навпаки. Завдяки цьому процесу віртуальна машина отримує доступ до Інтернету. Для налаштування цього механізму необхідно налаштувати правила SNAT та DNAT.
Важливо! NAT працює тільки при увімкненому Firewall і налаштованих відповідних дозвільних правилах.

Створення правила SNAT. SNAT (Source Network Address Translation) – механізм, суть якого полягає у заміні адреси джерела під час пересилання пакета.

Спочатку потрібно дізнатися доступну нам зовнішню IP-адресу або діапазон IP-адрес. Для цього зайдіть у розділ адміністрація і клацніть двічі на віртуальний дата-центр. У меню налаштувань перейдіть у вкладку Граничний шлюзs. Виберіть потрібний NSX Edge і клацніть правою кнопкою миші. Виберіть опцію властивості.

VMware NSX для найменших. Частина 2. Налаштування Firewall та NAT

У вікні, що з'явилося, у вкладці Sub-Allocate IP Pools Ви зможете переглянути зовнішню IP-адресу або діапазон IP-адрес. Запишіть або запам'ятайте його.

VMware NSX для найменших. Частина 2. Налаштування Firewall та NAT

Далі клацніть правою кнопкою миші на NSX Edge. У меню виберіть опцію Edge Gateway Services. І ми знову на панелі керування NSX Edge.

VMware NSX для найменших. Частина 2. Налаштування Firewall та NAT

У вікні відкриваємо вкладку NAT і натискаємо Add SNAT.

VMware NSX для найменших. Частина 2. Налаштування Firewall та NAT

У новому вікні вказуємо:

  • у полі Applied on – зовнішню мережу (не мережу рівня організації!);
  • Original Source IP/range – внутрішній діапазон адрес, наприклад, 192.168.1.0/24;
  • Translated Source IP/range – зовнішня адреса, через яку буде здійснюватися вихід в Інтернет і яку ви подивилися у вкладці Sub-Allocate IP Pools.

Натисніть кнопку Keep.

VMware NSX для найменших. Частина 2. Налаштування Firewall та NAT

Створення правила DNAT. DNAT – механізм, який змінює адресу призначення пакета, і навіть порт призначення. Використовується для перенаправлення вхідних пакетів із зовнішньої адреси/порту на приватну IP-адресу/порт у приватній мережі.

Вибираємо вкладку NAT та натискаємо Add DNAT.

VMware NSX для найменших. Частина 2. Налаштування Firewall та NAT

У вікні вкажіть:

- у полі Applied on - зовнішню мережу (не мережу рівня організації!);
— Original IP/range – зовнішня адреса (адреса із вкладки Sub-Allocate IP Pools);
- Protocol - протокол;
- Original Port - порт для зовнішньої адреси;
— Translated IP/range – внутрішня IP-адреса, наприклад, 192.168.1.10
— Translated Port – порт для внутрішньої адреси, до якого транслюватиметься порт зовнішньої адреси.

Натисніть кнопку Keep.

VMware NSX для найменших. Частина 2. Налаштування Firewall та NAT

Застосовуємо введену конфігурацію, вибравши пункт зберегти зміни.

VMware NSX для найменших. Частина 2. Налаштування Firewall та NAT

Готово.

VMware NSX для найменших. Частина 2. Налаштування Firewall та NAT

Далі на черзі інструкція з DHCP, включаючи налаштування DHCP Bindings та Relay.

Джерело: habr.com

Додати коментар або відгук