Правила NAT
NAT (Network Address Translation) — технология преобразования приватных IP-адресов во внешние в IPv4, благодаря которой виртуальная машина получает доступ в интернет. Преобразования NAT повышают безопасность: трансляция частных IP-адресов в публичные из пула маршрутизатора скрывает топологию внутренней сети от внешних пользователей и затрудняет несанкционированный доступ к ресурсам сети.
Для выхода в интернет нужен белый IP, который будет «маскировать» один или несколько приватных IP-адресов. Механизм NAT подменяет серые адреса на белые и наоборот. Благодаря этому вся частная сеть может подключаться к интернету через один публичный IP-адрес (или пул адресов), предоставленный провайдером.
В частной сети используются три блока приватных (серых) IP-адресов, которые не используются в интернете:
10.0.0.0
—10.255.255.255/8
(16 777 216 хостов);172.16.0.0
—172.31.255.255/12
(1 048 576 хостов);192.168.0.0
—192.168.255.255/16
(65 536 хостов).
Типы правил NAT
Можно настроить два типа правил NAT:
- правила SNAT — для доступа виртуальных машин в интернет;
- правила DNAT — для доступа из интернета к виртуальным машинам по SSH, RDP или получения доступа к web-странице. Механизм DNAT изменяет адрес и порт назначения пакета. Используется для перенаправления входящих пакетов с внешнего адреса/порта на приватный IP-адрес/порт внутри частной сети.
Настроить правила SNAT
-
Из панели управления откройте панель Cloud Director: Облако на базе VMware → Cloud Director.
-
Откройте вкладку Networking → Edge Gateways.
-
Откройте нужный Edge.
-
Нажмите Services.
-
Откройте вкладку NAT.
-
В блоке NAT44 Rules нажмите + SNAT Rule.
-
В поле Applied on выберите внешнюю сеть.
-
В поле Original source IP/range укажите:
- для доступа в интернет определенной ВМ укажите IP-адрес ВМ (например,
10.10.1.12
); - для доступа всем ВМ в сети укажите подсеть (например,
10.10.1.0/24
).
- для доступа в интернет определенной ВМ укажите IP-адрес ВМ (например,
-
В поле Translated source IP/range выберите внешний адрес, назначенный для вашего Edge-роутера — вручную или нажмите SELECT и выберите из списка для внешней сети.
-
В поле Destination IP Address выберите any либо оставьте пустыми (по умолчанию проставляется any).
-
В поле Port укажите any либо оставьте пустыми (по умолчанию проставляется any).
-
Опционально: в поле Description добавьте описание правила.
-
Опционально: чтобы активировать правило сразу после создания, включите тумблер Enabled.
-
Опционально: чтобы включить ведение журнала для правила (регистрировать трансляцию адресов), включите тумблер Enabled logging.
-
Нажмите Keep.
-
Нажмите Save changes.
Настроить правила DNAT
- Посмотрите внешний IP-адрес виртуального дата-центра.
- Настройте и включите Firewall.
- Из панели управления откройте панель Cloud Director: Облако на базе VMware → Cloud Director.
- Откройте вкладку Networking → Edge Gateways.
- Откройте страницу нужного Edge.
- Нажмите Services.
- Откройте вкладку NAT.
- В блоке NAT44 Rules нажмите + DNAT Rule.
- В поле Applied on выберите внешнюю сеть.
- В поле Original IP/range укажите внешний адрес, назначенный для вашего Edge-роутера (выберите вручную или нажмите SELECT и выберите из списка для внешней сети).
- В поле Translated IP/range укажите адрес из локального диапазона, (например, при испол ьзовании подсети 10.10.1.0/24 можно указать 10.10.1.12).
- В поле Translated Port укажите порт во внутренней сети, в который будет выполняться NAT. Для SSH и RDP лучше использовать порт, отличный от стандартного (например, 5222).
- Поля Source IP Address и Port оставьте пустыми.
- Опционально: в поле Description добавьте описание правила.
- Опционально: чтобы активировать правило сразу после создания, включите тумблер Enabled.
- Опционально: чтобы включить ведение журнала для правила (регистрировать трансляцию адресов), включите тумблер Enabled logging.
- Нажмите Keep.
- Нажмите Save changes.