Правила NAT

Правила NAT

NAT (Network Address Translation) — технология преобразования приватных IP-адресов во внешние в IPv4, благодаря которой виртуальная машина получает доступ в интернет. Преобразования NAT повышают безопасность: трансляция частных IP-адресов в публичные из пула маршрутизатора скрывает топологию внутренней сети от внешних пользователей и затрудняет несанкционированный доступ к ресурсам сети.

Для выхода в интернет нужен белый IP, который будет «маскировать» один или несколько приватных IP-адресов. Механизм NAT подменяет серые адреса на белые и наоборот. Благодаря этому вся частная сеть может подключаться к интернету через один публичный IP-адрес (или пул адресов), предоставленный провайдером.

В частной сети используются три блока приватных (серых) IP-адресов, которые не используются в интернете:

• 10.0.0.0 — 10.255.255.255/8 (16777216 хостов);
• 172.16.0.0 — 172.31.255.255/12 (1048576 хостов);
• 192.168.0.0 — 192.168.255.255/16 (65536 хостов).

Настроить правила NAT

Можно настроить два типа правил NAT:

• правила SNAT — для доступа виртуальных машин в интернет;
• правила DNAT — для доступа из интернета к виртуальным машинам по SSH, RDP или получения доступа к web-странице. Механизм DNAT изменяет адрес и порт назначения пакета. Используется для перенаправления входящих пакетов с внешнего адреса/порта на приватный IP-адрес/порт внутри частной сети.

Перед настройкой правил NAT:

• посмотрите внешний IP-адрес виртуального дата-центра;
• настройте и включите Firewall.

Настроить правила SNAT

1. Из панели управления откройте панель Cloud Director: Облако на базе VMware → Cloud Director.

2. Откройте вкладку Networking → Edge Gateways.

3. Откройте нужный Edge.

4. Нажмите Services.

5. Откройте вкладку NAT.

6. В блоке NAT44 Rules нажмите + SNAT Rule.

7. В поле Applied on выберите внешнюю сеть.

8. В поле Original source IP/range укажите:

   • для доступа в интернет определенной ВМ укажите IP-адрес ВМ (например, 10.10.1.12);
   • для доступа всем ВМ в сети укажите подсеть (например, 10.10.1.0/24).

9. В поле Translated source IP/range укажите внешний адрес, назначенный для вашего Edge-роутера (выберите вручную или нажмите SELECT и выберите из списка для внешней сети).

10. Destination IP Address и Port — укажите any либо оставьте пустыми (по умолчанию проставляется any).

11. Опционально: в поле Description добавьте описание правила.

12. Опционально: чтобы активировать правило сразу после создания, включите тумблер Enabled.

13. Опционально: чтобы включить ведение журнала для правила (регистрировать трансляцию адресов), включите тумблер Enabled logging.

14. Нажмите Keep.

15. Нажмите Save changes.

Настроить правила DNAT

1. Из панели управления откройте панель Cloud Director: Облако на базе VMware → Cloud Director.
2. Откройте вкладку Networking → Edge Gateways.
3. Откройте страницу нужного Edge.
4. Нажмите Services.
5. Откройте вкладку NAT.
6. В блоке NAT44 Rules нажмите + DNAT Rule.
7. В поле Applied on выберите внешнюю сеть.
8. В поле Original IP/range укажите внешний адрес, назначенный для вашего Edge-роутера (выберите вручную или нажмите SELECT и выберите из списка для внешней сети).
9. В поле Translated IP/range укажите адрес из локального диапазона, (например, при использовании подсети 0.10.1.0/24 можно указать 10.10.1.12).
10. В поле Translated Port укажите порт во внутренней сети, в который будет выполняться NAT. Для SSH и RDP лучше использовать порт, отличный от стандартного (например, 5222).
11. Поля Source IP Address и Port оставьте пустыми.
12. Опционально: в поле Description добавьте описание правила.
13. Опционально: чтобы активировать правило сразу после создания, включите тумблер Enabled.
14. Опционально: чтобы включить ведение журнала для правила (регистрировать трансляцию адресов), включите тумблер Enabled logging.
15. Нажмите Keep.
16. Нажмите Save changes.