Geekly articles weekly

VMware NSX für die Kleinsten. Teil 2. Firewall und NAT konfigurieren



Teil eins
Nach einer kurzen Pause kehren wir zum NSX zurück. Heute werde ich zeigen, wie NAT und Firewall konfiguriert werden.
Wechseln Sie auf der Registerkarte Administration zu Ihrem virtuellen Rechenzentrum - Cloud-Ressourcen - Virtuelle Rechenzentren .

Wählen Sie die Registerkarte Edge-Gateways und klicken Sie mit der rechten Maustaste auf den gewünschten NSX Edge. Wählen Sie im angezeigten Menü die Option Edge Gateway Services . Die NSX Edge-Systemsteuerung wird in einer separaten Registerkarte geöffnet.



Konfigurieren Sie Firewall-Regeln


Standardmäßig ist die Option Verweigern in der Standardregel für eingehendes Datenverkehrselement ausgewählt . Das heißt, die Firewall blockiert den gesamten Datenverkehr.



Klicken Sie auf +, um eine neue Regel hinzuzufügen. Ein neuer Eintrag mit dem Namen Neue Regel wird angezeigt. Bearbeiten Sie die Felder entsprechend Ihren Anforderungen.



Geben Sie im Feld Name den Namen der Regel an, z. B. Internet.



Geben Sie im Feld Quelle die erforderlichen Quelladressen ein. Mit der IP-Schaltfläche können Sie eine einzelne IP-Adresse, einen IP-Adressbereich und CIDR angeben.





Mit der Schaltfläche + können Sie andere Objekte festlegen:

  • Gateway-Schnittstellen. Alle internen Netzwerke (intern), alle externen Netzwerke (extern) oder Beliebig.
  • Virtuelle Maschinen. Binden Sie die Regeln an eine bestimmte virtuelle Maschine.
  • OrgVdcNetworks. Netzwerke auf Organisationsebene.
  • IP-Sets. Vom Benutzer erstellte IP-Adressgruppe (im Gruppierungsobjekt erstellt).





Geben Sie im Feld Ziel die Empfängeradresse an. Hier sind die gleichen Optionen wie im Feld Quelle.
Im Feld Dienst können Sie den Zielport (Zielport), das erforderliche Protokoll (Protokoll) und den Absenderport (Quellport) auswählen oder manuell angeben. Klicken Sie auf Behalten.





Wählen Sie im Feld Aktion die gewünschte Aktion aus: Verkehrsfluss zulassen, der dieser Regel entspricht, oder ablehnen.



Wir wenden die eingegebene Konfiguration an, indem wir Änderungen speichern auswählen.



Regelbeispiele

Regel 1 für Firewall (Internet) ermöglicht den Internetzugang über ein beliebiges Protokoll zu einem Server mit IP 192.168.1.10.

Regel 2 für Firewall (Webserver) ermöglicht den Zugriff aus dem Internet über (TCP-Protokoll, Port 80) über Ihre externe Adresse. In diesem Fall 185.148.83.16:80.



NAT-Setup


NAT (Network Address Translation) - Übersetzung von privaten (grauen) IP-Adressen in externe (weiße) und umgekehrt. Durch diesen Prozess erhält die virtuelle Maschine Zugriff auf das Internet. Um diesen Mechanismus zu konfigurieren, müssen Sie die SNAT- und DNAT-Regeln konfigurieren.
Wichtig! NAT funktioniert nur, wenn die Firewall aktiviert und die entsprechenden Berechtigungsregeln konfiguriert sind.

Erstellen Sie eine SNAT-Regel. SNAT (Source Network Address Translation) ist ein Mechanismus, dessen Kern darin besteht, die Quelladresse beim Weiterleiten eines Pakets zu ersetzen.

Zuerst müssen Sie die verfügbare externe IP-Adresse oder den Bereich der IP-Adressen herausfinden. Gehen Sie dazu zum Abschnitt Administration und doppelklicken Sie auf das virtuelle Rechenzentrum. Wechseln Sie im angezeigten Einstellungsmenü zur Registerkarte Edge Gateway . Wählen Sie den gewünschten NSX Edge aus und klicken Sie mit der rechten Maustaste darauf. Wählen Sie die Option Eigenschaften .



In dem angezeigten Fenster auf der Registerkarte IP-Pools unterordnen sehen Sie die externe IP-Adresse oder einen Bereich von IP-Adressen. Nehmen Sie es auf oder merken Sie es sich.



Klicken Sie anschließend mit der rechten Maustaste auf den NSX Edge. Wählen Sie im angezeigten Menü die Option Edge Gateway Services . Und wir sind wieder im NSX Edge-Kontrollfeld.



Öffnen Sie im angezeigten Fenster die Registerkarte NAT und klicken Sie auf SNAT hinzufügen.



Geben Sie in einem neuen Fenster Folgendes an:

  • im Feld Angewandt auf - ein externes Netzwerk (kein Netzwerk auf Organisationsebene!);
  • Ursprüngliche Quell-IP / Bereich - interner Adressbereich, z. B. 192.168.1.0/24;
  • Übersetzte Quell-IP / -Bereich - Eine externe Adresse, über die der Internetzugang bereitgestellt wird und die Sie auf der Registerkarte IP-Pools unterordnen gesucht haben.

Klicken Sie auf Behalten.



Erstellen Sie eine DNAT-Regel. DNAT ist ein Mechanismus, der die Zieladresse eines Pakets sowie den Zielport ändert. Wird verwendet, um eingehende Pakete von einer externen Adresse / einem externen Port zu einer privaten IP-Adresse / einem privaten IP-Port innerhalb eines privaten Netzwerks umzuleiten.

Wählen Sie die Registerkarte NAT und klicken Sie auf DNAT hinzufügen.



Geben Sie im angezeigten Fenster Folgendes an:

- im Feld Angewandt - ein externes Netzwerk (kein Netzwerk auf Organisationsebene!);
- Ursprüngliche IP / Bereich - externe Adresse (Adresse auf der Registerkarte IP-Pools unterordnen);
- Protokoll - Protokoll;
- Original Port - Port für eine externe Adresse;
- Übersetzte IP / Bereich - interne IP-Adresse, z. B. 192.168.1.10
- Übersetzter Port - Port für die interne Adresse, in die der externe Adressport übersetzt wird.

Klicken Sie auf Behalten.



Wir wenden die eingegebene Konfiguration an, indem wir Änderungen speichern auswählen.



Fertig.



Als nächstes folgt das DHCP-Handbuch, einschließlich der Einrichtung von DHCP-Bindungen und -Relais.

Source: https://habr.com/ru/post/de441026/

More articles:


All Articles