Правила NAT
NAT (Network Address Translation) — технология преобразования приватных IP-адресов во внешние в IPv4, благодаря которой виртуальная машина получает доступ в интернет. Преобразования NAT повышают безопасность: трансляция частных IP-адресов в публичные из пула маршрутизатора скрывает топологию внутренней сети от внешних пользователей и затрудняет несанкционированный доступ к ресурсам сети.
Для выхода в интернет нужен белый IP, который будет «маскировать» один или несколько приватных IP-адресов. Механизм NAT подменяет серые адреса на белые и наоборот. Благодаря этому вся частная сеть может подключаться к интернету через один публичный IP-адрес (или пул адресов), предоставленный провайдером.
В частной сети используются три блока приватных (серых) IP-адресов, которые не используются в интернете:
10.0.0.0 — 10.255.255.255/8
(16 777 216 хостов);172.16.0.0 — 172.31.255.255/12
(1 048 576 хостов);192.168.0.0 — 192.168.255.255/16
(65 536 хостов).
Настроить правила NAT
Можно настроить два типа правил NAT:
- правила SNAT — для доступа виртуальных машин в интернет;
- правила DNAT — для доступа из интернета к виртуальным машинам по SSH, RDP или получения доступа к web-странице. Механизм DNAT изменяет адрес и порт назначения пакета. Используется для перенаправления входящих пакетов с внешнего адреса/порта на приватный IP-адрес/порт внутри частной сети.
Перед настройкой правил NAT:
Настроить правила SNAT
Из панели управления откройте панель Cloud Director: Облако на базе VMware → Cloud Director.
Откройте вкладку Networking → Edge Gateways.
Откройте нужный Edge.
Нажмите Services.
Откройте вкладку NAT.
В блоке NAT44 Rules нажмите + SNAT Rule.
В поле Applied on выберите внешнюю сеть.
В поле Original source IP/range укажите:
- для доступа в интернет определенной ВМ укажите IP-адрес ВМ (например,
10.10.1.12
); - для доступа всем ВМ в сети укажите подсеть (например,
10.10.1.0/24
).
- для доступа в интернет определенной ВМ укажите IP-адрес ВМ (например,
В поле Translated source IP/range укажите внешний адрес, назначенный для вашего Edge-роутера (выберите вручную или нажмите SELECT и выберите из списка для внешней сети).
Destination IP Address и Port — укажите any либо оставьте пустыми (по умолчанию проставляется any).
Опционально: в поле Description добавьте описание правила.
Опционально: чтобы активировать правило сразу после создания, включите тумблер Enabled.
Опционально: чтобы включить ведение журнала для правила (регистрировать трансляцию адресов), включите тумблер Enabled logging.
Нажмите Keep.
Нажмите Save changes.
Настроить правила DNAT
- Из панели управления откройте панель Cloud Director: Облако на базе VMware → Cloud Director.
- Откройте вкладку Networking → Edge Gateways.
- Откройте страницу нужного Edge.
- Нажмите Services.
- Откройте вкладку NAT.
- В блоке NAT44 Rules нажмите + DNAT Rule.
- В поле Applied on выберите внешнюю сеть.
- В поле Original IP/range укажите внешний адрес, назначенный для вашего Edge-роутера (выберите вручную или нажмите SELECT и выберите из списка для внешней сети).
- В поле Translated IP/range укажите адрес из локального диапазона, (например, при использовании подсети 10.10.1.0/24 можно указать 10.10.1.12).
- В поле Translated Port укажите порт во внутренней сети, в который будет выполняться NAT. Для SSH и RDP лучше использовать порт, отличный от стандартного (например, 5222).
- Поля Source IP Address и Port оставьте пустыми.
- Опционально: в поле Description добавьте описание правила.
- Опционально: чтобы активировать правило сразу после создания, включите тумблер Enabled.
- Опционально: чтобы включить ведение журнала для правила (регистрировать трансляцию адресов), включите тумблер Enabled logging.
- Нажмите Keep.
- Нажмите Save changes.