Правила NAT

Последнее изменение: 26 февраля 2024

Правила NAT

NAT (Network Address Translation) — технология преобразования приватных IP-адресов во внешние в IPv4, благодаря которой виртуальная машина получает доступ в интернет. Преобразования NAT повышают безопасность: трансляция частных IP-адресов в публичные из пула маршрутизатора скрывает топологию внутренней сети от внешних пользователей и затрудняет несанкционированный доступ к ресурсам сети.

Для выхода в интернет нужен белый IP, который будет «маскировать» один или несколько приватных IP-адресов. Механизм NAT подменяет серые адреса на белые и наоборот. Благодаря этому вся частная сеть может подключаться к интернету через один публичный IP-адрес (или пул адресов), предоставленный провайдером.

В частной сети используются три блока приватных (серых) IP-адресов, которые не используются в интернете:

• 10.0.0.0 — 10.255.255.255/8 (16 777 216 хостов);
• 172.16.0.0 — 172.31.255.255/12 (1 048 576 хостов);
• 192.168.0.0 — 192.168.255.255/16 (65 536 хостов).

Типы правил NAT⁠

Можно настроить два типа правил NAT:

• правила SNAT — для доступа виртуальных машин в интернет;
• правила DNAT — для доступа из интернета к виртуальным машинам по SSH, RDP или получения доступа к web-странице. Механизм DNAT изменяет адрес и порт назначения пакета. Используется для перенаправления входящих пакетов с внешнего адреса/порта на приватный IP-адрес/порт внутри частной сети.

Настроить правила SNAT⁠

1. Посмотрите внешний IP-адрес виртуального дата-центра.

2. Настройте и включите Firewall.

3. Из панели управления откройте панель Cloud Director: Облако на базе VMware → Cloud Director.

4. Откройте вкладку Networking → Edge Gateways.

5. Откройте нужный Edge.

6. Нажмите Services.

7. Откройте вкладку NAT.

8. В блоке NAT44 Rules нажмите + SNAT Rule.

9. В поле Applied on выберите внешнюю сеть.

10. В поле Original source IP/range укажите:

    • для доступа в интернет определенной ВМ укажите IP-адрес ВМ (например, 10.10.1.12);
    • для доступа всем ВМ в сети укажите подсеть (например, 10.10.1.0/24).

11. В поле Translated source IP/range выберите внешний адрес, назначенный для вашего Edge-роутера — вручную или нажмите SELECT и выберите из списка для внешней сети.

12. В поле Destination IP Address выберите any либо оставьте пустыми (по умолчанию проставляется any).

13. В поле Port укажите any либо оставьте пустыми (по умолчанию проставляется any).

14. Опционально: в поле Description добавьте описание правила.

15. Опционально: чтобы активировать правило сразу после создания, включите тумблер Enabled.

16. Опционально: чтобы включить ведение журнала для правила (регистрировать трансляцию адресов), включите тумблер Enabled logging.

17. Нажмите Keep.

18. Нажмите Save changes.

Настроить правила DNAT⁠

1. Посмотрите внешний IP-адрес виртуального дата-центра.
2. Настройте и включите Firewall.
3. Из панели управления откройте панель Cloud Director: Облако на базе VMware → Cloud Director.
4. Откройте вкладку Networking → Edge Gateways.
5. Откройте страницу нужного Edge.
6. Нажмите Services.
7. Откройте вкладку NAT.
8. В блоке NAT44 Rules нажмите + DNAT Rule.
9. В поле Applied on выберите внешнюю сеть.
10. В поле Original IP/range укажите внешний адрес, назначенный для вашего Edge-роутера (выберите вручную или нажмите SELECT и выберите из списка для внешней сети).
11. В поле Translated IP/range укажите адрес из локального диапазона, (например, при использовании подсети 10.10.1.0/24 можно указать 10.10.1.12).
12. В поле Translated Port укажите порт во внутренней сети, в который будет выполняться NAT. Для SSH и RDP лучше использовать порт, отличный от стандартного (например, 5222).
13. Поля Source IP Address и Port оставьте пустыми.
14. Опционально: в поле Description добавьте описание правила.
15. Опционально: чтобы активировать правило сразу после создания, включите тумблер Enabled.
16. Опционально: чтобы включить ведение журнала для правила (регистрировать трансляцию адресов), включите тумблер Enabled logging.
17. Нажмите Keep.
18. Нажмите Save changes.