Geekly articles weekly

VMware NSX para o menor. Parte 2. Configurando Firewall e NAT



Parte um
Após um breve intervalo, retornamos ao NSX. Hoje vou mostrar como configurar o NAT e o Firewall.
Na guia Administração , acesse seu datacenter virtual - Recursos em nuvem - Datacenters virtuais .

Selecione a guia Edge Gateways e clique com o botão direito do mouse no NSX Edge desejado. No menu exibido, selecione a opção Serviços de Gateway de Borda . O NSX Edge Control Panel é aberto em uma guia separada.



Configurar regras de firewall


Por padrão, a opção Negar está selecionada na regra padrão para o item de tráfego de entrada , ou seja, o Firewall bloqueará todo o tráfego.



Para adicionar uma nova regra, clique em +. Uma nova entrada aparecerá com o nome Nova regra . Edite seus campos para atender às suas necessidades.



No campo Nome , especifique o nome da regra, por exemplo, Internet.



No campo Origem , insira os endereços de origem necessários. Usando o botão IP, você pode especificar um único endereço IP, um intervalo de endereços IP, CIDR.





O botão + permite definir outros objetos:

  • Interfaces de gateway. Todas as redes internas (Internas), todas as redes externas (Externas) ou Qualquer.
  • Máquinas virtuais. Vincule as regras a uma máquina virtual específica.
  • OrgVdcNetworks. Redes em nível de organização.
  • Conjuntos de IP. Grupo de endereços IP criado pelo usuário (criado no objeto Agrupamento).





No campo Destino , especifique o endereço do destinatário. Aqui estão as mesmas opções que no campo Origem.
No campo Serviço , você pode selecionar ou especificar manualmente a porta de destino (porta de destino), o protocolo necessário (protocolo), a porta do remetente (porta de origem). Clique em manter.





No campo Ação , selecione a ação necessária: permita o fluxo de tráfego que corresponda a essa regra ou negue-a.



Aplicamos a configuração inserida selecionando Salvar alterações .



Exemplos de regras

A regra 1 para firewall (Internet) permite acesso à Internet através de qualquer protocolo para um servidor com IP 192.168.1.10.

A regra 2 para firewall (servidor da Web) permite o acesso da Internet via (protocolo TCP, porta 80) através do seu endereço externo. Nesse caso, 185.148.83.16:80.



Configuração NAT


NAT (Network Address Translation) - tradução de endereços IP privados (cinza) para externo (branco) e vice-versa. Por esse processo, a máquina virtual obtém acesso à Internet. Para configurar esse mecanismo, você precisa configurar as regras SNAT e DNAT.
Importante! O NAT só funciona quando o Firewall está ativado e as regras de permissão correspondentes estão configuradas.

Crie regra SNAT. O SNAT (Source Network Address Translation) é um mecanismo cuja essência é substituir o endereço de origem ao encaminhar um pacote.

Primeiro, você precisa descobrir o endereço IP externo disponível ou o intervalo de endereços IP. Para fazer isso, vá para a seção Administração e clique duas vezes no data center virtual. No menu de configurações que aparece, vá para a guia do Edge Gateway . Selecione o NSX Edge desejado e clique com o botão direito nele. Selecione a opção Propriedades .



Na janela exibida, na guia Subalocar IP Pools , você pode ver o endereço IP externo ou um intervalo de endereços IP. Grave ou memorize.



Em seguida, clique com o botão direito do mouse no NSX Edge. No menu exibido, selecione a opção Serviços de Gateway de Borda . E estamos de volta ao painel de controle do NSX Edge.



Na janela exibida, abra a guia NAT e clique em Adicionar SNAT.



Em uma nova janela, especifique:

  • no campo Aplicado em - uma rede externa (não uma rede no nível da organização!);
  • IP / intervalo de origem original - intervalo de endereços interno, por exemplo, 192.168.1.0/24;
  • IP / intervalo de origem traduzida - um endereço externo através do qual o acesso à Internet será fornecido e que você consultou na guia Subalocar IP Pools.

Clique em manter.



Crie uma regra DNAT. DNAT é um mecanismo que altera o endereço de destino de um pacote, bem como a porta de destino. Usado para redirecionar pacotes recebidos de um endereço / porta externo para um endereço IP / porta privado em uma rede privada.

Selecione a guia NAT e clique em Adicionar DNAT.



Na janela exibida, especifique:

- no campo Aplicado em - uma rede externa (não uma rede no nível da organização!);
- IP / intervalo original - endereço externo (endereço da guia Subalocar IP Pools);
- Protocolo - protocolo;
- Porta original - porta para um endereço externo;
- IP / intervalo traduzido - endereço IP interno, por exemplo, 192.168.1.10
- Porta traduzida - porta para o endereço interno para o qual a porta de endereço externo será convertida.

Clique em manter.



Aplicamos a configuração inserida selecionando Salvar alterações .



Feito.



O próximo na fila é o manual do DHCP, incluindo a configuração de ligações e retransmissão DHCP.

Source: https://habr.com/ru/post/pt441026/

More articles:


All Articles