VMware NSX для самых маленьких. Часть 2. Настройка Firewall и NAT21.02.2019 10:32

qrralkka3lxm8_oflp9lbcwvbfu.jpeg

Часть первая
После небольшого перерыва возвращаемся к NSX. Сегодня покажу, как настроить NAT и Firewall.

Во вкладке Administration перейдите в ваш виртуальный дата-центр — Cloud Resources — Virtual Datacenters.
Выберите вкладку Edge Gateways и кликните на нужный NSX Edge правой кнопкой мыши. В появившемся меню выберите опцию Edge Gateway Services. Панель управления NSX Edge откроется в отдельной вкладке.
xk8gqucylmzxf9w2iribu_z5lrk.png

Настройка правил Firewall


По умолчанию в пункте default rule for ingress traffic выбрана опция Deny, т. е. Firewall будет блокировать весь трафик.
ploqbswpzcqr1bfy9ays0ydfuzk.png

Чтобы добавить новое правило, нажмите +. Появится новая запись с названием New rule. Отредактируйте ее поля в соответствии с вашими требованиям.
6q7wypw4ih4nhihqk_gvnqynpag.png

В поле Name задайте название правила, например Internet.
auydns2lfggc9i5z5vsta_tfvfm.png

В поле Source введите необходимые адреса источника. По кнопке IP можно задать единичный IP-адрес, диапазон IP-адресов, CIDR.
yixl8kkdwbncuo06fdfdt3omxqg.png

fkb0qc5slmcqd8qcva313umchjm.png

По кнопке + можно задать другие объекты:

  • Gateway interfaces. Все внутренние сети (Internal), все внешние сети (External) или Any.
  • Virtual machines. Привязываем правила к определенной виртуальной машине.
  • OrgVdcNetworks. Сети уровня организации.
  • IP Sets. Заранее созданная пользователем группа IP-адресов (создается в Grouping object).


fjabkrjkbmp5qbccnow_99mtaei.png

vpvtofrkovlrpjtzvvzlkwtmbfi.png

В поле Destination укажите адрес получателя. Тут такие же опции, как и в поле Source.
В поле Service можно выбрать или указать вручную порт получателя (Destination Port), необходимый протокол (Protocol), порт получателя (Source Port). Нажмите Keep.
medlatjcav2rrn4_iie9ehq1pfo.png

blwmgdu3_s4mdxkobqmocelor0k.png

В поле Action выберите необходимое действие: разрешить прохождение трафика, соответствующее этому правилу, или запретить.
qlqhermo5ekkns2nzo31z4w2vfq.png

Применяем введенную конфигурацию, выбрав пункт Save changes.
2d89g5j-q7hvrxbcfpnarxhjb-q.png

Примеры правил
Правило 1 для Firewall (Internet) разрешает доступ в Интернет по любым протоколам серверу с IP 192.168.1.10.
Правило 2 для Firewall (Web-server) разрешает доступ из Интернета по (ТСР-протокол, порт 80) через ваш внешний адрес. В данном случае — 185.148.83.16:80.
l7vuyxaas5qputgmqf3sfhujcqq.png


NAT (Network Address Translation) — трансляция приватных (серых) IP-адресов во внешние (белые), и наоборот. Благодаря этому процессу виртуальная машина получает доступ в Интернет. Для настройки этого механизма нужно настроить правила SNAT и DNAT.
Важно! NAT работает только при включенном Firewall и настроенных соответствующих разрешающих правилах.

Создание правила SNAT. SNAT (Source Network Address Translation) — механизм, суть которого состоит в замене адреса источника при пересылке пакета.

Сначала нужно узнать доступный нам внешний IP-адрес или диапазон IP-адресов. Для этого зайдите в раздел Administration и кликните дважды на виртуальный дата-центр. В появившемся меню настроек перейдите во вкладку Edge Gateways. Выберите нужный NSX Edge и кликните на него правой кнопкой мыши. Выберите опцию Properties.
ctuxxndi5ue7plkmevokbtznjy0.png

В появившемся окне во вкладке Sub-Allocate IP Pools вы сможете посмотреть внешний IP-адрес или диапазон IP-адресов. Запишите или запомните его.
jxhmr2cecqt8l-ki9teruiaxawo.png

Дальше кликните на NSX Edge правой кнопкой мыши. В появившемся меню выберите опцию Edge Gateway Services. И мы снова в панели управления NSX Edge.
emjx4nb16lcaec_8zbdanbnxguy.png

В появившемся окне открываем вкладку NAT и нажимаем Add SNAT.
wdtirc5zrdzbhawbtgbo7ynurle.png

В новом окне указываем:
— в поле Applied on — внешнюю сеть (не сеть уровня организации!);
— Original Source IP/range — внутренний диапазон адресов, например, 192.168.1.0/24;
— Translated Source IP/range — внешний адрес, через который будет осуществляться выход в Интернет и который вы посмотрели во вкладке Sub-Allocate IP Pools.
Нажмите Keep.
gwhbws33swrft8urrthncqfbvqo.png

Создание правила DNAT. DNAT — механизм, изменяющий адрес назначения пакета, а также порт назначения. Используется для перенаправления входящих пакетов с внешнего адреса/порта на приватный IP-адрес/порт внутри частной сети.
Выбираем вкладку NAT и нажимаем Add DNAT.
3su42nqh4hhm9ytsxpbfenywrwk.png

В появившемся окне укажите:
— в поле Applied on — внешнюю сеть (не сеть уровня организации!);
— Original IP/range  — внешний адрес (адрес из вкладки Sub-Allocate IP Pools);
— Protocol — протокол;
— Original Port — порт для внешнего адреса;
— Translated IP/range — внутренний IP-адрес, например, 192.168.1.10
— Translated Port — порт для внутреннего адреса, в который будет транслироваться порт внешнего адреса.
Нажмите Keep.
yw68owmcqbykcgw1buvlbldswom.png

Применяем введенную конфигурацию, выбрав пункт Save changes.
yzjuph1hlitfn3v9umeys0kxwvq.png

Готово.
budzw_2v0y1erznjgnmvaqiiapw.png

Дальше на очереди инструкция по DHCP, включая настройку DHCP Bindings и Relay.

© Habrahabr.ru