Geekly articles weekly

VMware NSX para los más pequeños. Parte 2. Configuración de firewall y NAT



Primera parte
Después de un breve descanso, volvemos al NSX. Hoy mostraré cómo configurar NAT y Firewall.
En la pestaña Administración , vaya a su centro de datos virtual - Recursos en la nube - Centros de datos virtuales .

Seleccione la pestaña Edge Gateways y haga clic derecho en el NSX Edge que desee. En el menú que aparece, seleccione la opción Servicios de Edge Gateway . NSX Edge Control Panel se abre en una pestaña separada.



Configurar reglas de firewall


De manera predeterminada, la opción Denegar está seleccionada en la regla predeterminada para el elemento de ingreso de tráfico , es decir, Firewall bloqueará todo el tráfico.



Para agregar una nueva regla, haga clic en +. Aparecerá una nueva entrada con el nombre Nueva regla . Edite sus campos para satisfacer sus requisitos.



En el campo Nombre , especifique el nombre de la regla, por ejemplo, Internet.



En el campo Fuente , ingrese las direcciones de origen requeridas. Con el botón IP, puede especificar una sola dirección IP, un rango de direcciones IP, CIDR.





El botón + le permite configurar otros objetos:

  • Interfaces de puerta de enlace. Todas las redes internas (internas), todas las redes externas (externas) o cualquiera.
  • Máquinas virtuales Vincula las reglas a una máquina virtual específica.
  • OrgVdcNetworks. Redes de nivel de organización.
  • Conjuntos de IP. Grupo de direcciones IP creado por el usuario (creado en el objeto Agrupación).





En el campo Destino , especifique la dirección del destinatario. Aquí están las mismas opciones que en el campo Fuente.
En el campo Servicio , puede seleccionar o especificar manualmente el puerto de destino (Puerto de destino), el protocolo necesario (Protocolo), el puerto del remitente (Puerto de origen). Haz clic en Guardar.





En el campo Acción , seleccione la acción requerida: permitir el flujo de tráfico que coincida con esta regla, o denegarla.



Aplicamos la configuración ingresada seleccionando Guardar cambios .



Ejemplos de reglas

La regla 1 para Firewall (Internet) permite el acceso a Internet a través de cualquier protocolo a un servidor con IP 192.168.1.10.

La regla 2 para Firewall (servidor web) permite el acceso desde Internet a través de (protocolo TCP, puerto 80) a través de su dirección externa. En este caso, 185.148.83.16:80.



Configuración NAT


NAT (traducción de direcciones de red) : traducción de direcciones IP privadas (grises) a externas (blancas) y viceversa. A través de este proceso, la máquina virtual obtiene acceso a Internet. Para configurar este mecanismo, debe configurar las reglas SNAT y DNAT.
Importante! NAT solo funciona cuando Firewall está habilitado y las reglas de permisos correspondientes están configuradas.

Crear regla SNAT. SNAT (traducción de dirección de red de origen) es un mecanismo cuya esencia es reemplazar la dirección de origen al reenviar un paquete.

Primero debe averiguar la dirección IP externa disponible o el rango de direcciones IP. Para hacer esto, vaya a la sección Administración y haga doble clic en el centro de datos virtual. En el menú de configuración que aparece, vaya a la pestaña de Edge Gateway . Seleccione el NSX Edge deseado y haga clic derecho sobre él. Selecciona la opción Propiedades .



En la ventana que aparece, en la pestaña Subasignar agrupaciones de IP , puede ver la dirección IP externa o un rango de direcciones IP. Grabarlo o memorizarlo.



A continuación, haga clic derecho en NSX Edge. En el menú que aparece, seleccione la opción Servicios de Edge Gateway . Y volvemos al panel de control de NSX Edge.



En la ventana que aparece, abra la pestaña NAT y haga clic en Agregar SNAT.



En una nueva ventana, especifique:

  • en el campo Aplicado en: una red externa (¡no una red a nivel de organización!);
  • Fuente original IP / rango: rango de dirección interna, por ejemplo, 192.168.1.0/24;
  • IP / rango de origen traducido: una dirección externa a través de la cual se proporcionará acceso a Internet y que buscó en la pestaña Subasignar agrupaciones de IP.

Haz clic en Guardar.



Crea una regla DNAT. DNAT es un mecanismo que cambia la dirección de destino de un paquete, así como el puerto de destino. Se utiliza para redirigir los paquetes entrantes desde una dirección / puerto externo a una dirección / puerto IP privado dentro de una red privada.

Seleccione la pestaña NAT y haga clic en Agregar DNAT.



En la ventana que aparece, especifique:

- en el campo Aplicado en - una red externa (¡no una red a nivel de organización!);
- IP / rango original - dirección externa (dirección de la pestaña Sub-Asignar agrupaciones de IP);
- Protocolo - protocolo;
- Puerto original - puerto para una dirección externa;
- IP / rango traducido - dirección IP interna, por ejemplo, 192.168.1.10
- Puerto traducido: puerto para la dirección interna a la que se traducirá el puerto de la dirección externa.

Haz clic en Guardar.



Aplicamos la configuración ingresada seleccionando Guardar cambios .



Listo



El siguiente en la línea es el manual de DHCP, que incluye la configuración de enlaces DHCP y retransmisión.

Source: https://habr.com/ru/post/441026/

More articles:


All Articles