Настройка NAT

NAT (Network Address Translation — «преобразование сетевых адресов») — это механизм в сетях TCP/IP, позволяющий преобразовывать IP-адреса из частных в публичные и наоборот.

На Edge Gateway возможно настроить как source NAT (подмена адреса источника), так и destination NAT (подмена адреса получателя) правила.

Для добавления нового NAT правила необходимо:

1) Открыть консоль управления Cloud Director. Войти в систему, используя учетную запись с правами администратора организации. Перейти в раздел Networking   

2) Перейти в раздел Edge Gateways:

3) Выбрать нужный Edge Gateway, после чего нажать кнопку Services:

4) В открывшемся окне перейти на вкладку NAT:

Добавление SNAT правила

 SNAT правило преобразует исходный IP-адрес пакетов, отправленных из сети VDC организации, во внешнюю сеть или в сеть VDC другой организации.

По умолчанию после создания организации в настройках Edge Gateway уже присутствует одно SNAT правило. Данное SNAT правило обеспечивает доступ виртуальных машин в интернет.

Для добавление нового SNAT необходимо:

1. нажать кнопку «+SNAT RULE»

2. В открывшемся окне необходимо заполнить следующие поля:

Applied on – выбрать из выпадающего списка внешнюю сеть, подключенную к Edge Gateway.

Original Source IP/Range - адрес виртуальной машины или адрес внутренней сети, которой необходимо предоставить доступ в интернет через NAT.

Translated Source IP/Range - внешний ip-адрес Edge Gateway.

Enabled – переключатель, включающий и выключающий правило.

Нажать кнопку KEEP.

3. Для применения и сохранения настроек необходимо нажать кнопку Save Changes:

Добавление DNAT правила

 DNAT преобразует IP-адрес и, при необходимости, порт пакетов, полученных сетью VDC организации, поступающих из внешней сети или из сети VDC другой организации.

Для добавление нового DNAT необходимо:

1. нажать кнопку «+DNAT RULE»

2. В открывшемся окне необходимо заполнить следующие поля:

Applied on – выбрать из выпадающего списка внешнюю сеть, подключенную к Edge Gateway.

Original IP/Range - внешний ip-адрес Edge Gateway, можно узнать из SNAT правила.

Protocol - выбрать необходимый протокол (TCP/UDP/ICMP/Any).

Original Port - порт для внешнего ip-адреса Edge Gateway.

Translated IP/Range - локальный ip-адрес виртуальной машины.

Translated Port - порт для локального ip-адреса виртуальной машины.

Enabled - переключатель, включающий и выключающий правило.

Нажать кнопку KEEP.

3. Для применения и сохранения настроек необходимо нажать кнопку Save Changes:

 Добавление DNAT для RDP и SSH подключений

В качестве примера рассмотрим правила проброса порта для подключения к виртуальной машине по протоколам RDP и SSH.

Примечание: В целях безопасности при пробросе портов для таких служб как SSH, TELNET, RDP рекомендуем использовать нестандартные внешние порты. Либо настроить фильтрацию доступа в Firewall.

1. Пример правила DNAT для подключения по протоколу RDP (локальный IP 192.168.0.45), который будет доступен по IP 80.69.186.68 + порт 58421:

2. Пример правила DNAT для подключения по протоколу SSH (локальный IP 192.168.0.46), который будет доступен по IP 80.69.186.68 + порт 19988:

Нестандартный внешний порт для RDP (SSH) не гарантирует 100% защиту от взлома по этому протоколу, но отсеет большую часть ботов, сканирующих только стандартные порты и их вариации.

Hairpin NAT

Использование Hairpin NAT может пригодиться в случае, когда, находясь внутри одной локальной сети, требуется обратиться к локальному ресурсу с использованием его внешнего IP-адреса.

Рассмотрим пример обращения рабочей станции к web-серверу по внешнему ip-адресу, при этом рабочая станция и web-сервер находятся за одним NAT. Трафик между рабочей станцией и web-сервером будет проходить через Edge Gateway.

По умолчанию для доступа к web-серверу на интерфейсе Edge Gateway c внешним ip-адресом настроено два правила:

SNAT – для доступа в интернет с виртуальных машин;

DNAT – для доступа к web-серверу из интернета.

Без настройки Hairpin NAT соединение по внешнему ip-адресу между локальными хостами и web-сервером не установится.

Необходимо добавить еще два правила, применяемые (Applied on) к локальному (внутреннему) интерфейсу Edge Gateway:

После добавление дополнительных NAT правил будет получена следующая схема обмена пакетами между виртуальными машины, находящихся в одной локальной сети:

1. Рабочая станция оправляет пакет со своего локального ip-адреса 192.168.0.45 (source ip) на внешний ip-адрес 80.69.186.68 Edge Gateway (destination ip).
2. Edge Gateway заменяет в пакете адрес источника (source ip) 192.168.0.45 на свой локальный адрес 192.168.0.1, а адрес назначения (destination ip) с 80.69.186.68 на локальный адрес web-сервера 192.168.0.46.
3. web-сервер, получив запрос от Edge Gateway с адреса 192.168.0.1, отправляет ответ в его сторону 192.168.0.1.
4. Edge Gateway, получив ответ от web-сервера, меняет адрес источника и адрес назначения (source ip и destination ip) на изначальные, а рабочая станция получает правильный ответный пакет.

Пример дополнительного SNAT правила: 

Пример дополнительного DNAT правила:

Для обоих дополнительных правил (SNAT и DNAT) в графе Applied on необходимо из выпадающего списка выбрать локальный (внутренний) интерфейс Edge Gateway. В данном примере его имя DEMO NET01.

Не нашли инструкцию?

Заполните форму, и наш специалист свяжется с вами.

Мы дополним информацию и ответим на ваш вопрос.

Оставить заявку