Разрешение доступа из Интернет к внутреннему порту VM в межсетевом экране (firewall)
NSX-V
Все соединения из Интернет блокируются по умолчанию. Чтобы разрешить подключение:
Перейдите в раздел Data Centers.
Выберите виртуальный дата-центр.
В блоке Networking перейдите в пункт Edges.
Выберите нужный виртуальный шлюз.
Нажмите на кнопку SERVICES.
В окне Edge Gateway – "название" на вкладке Firewall нажмите на кнопку "+" – будет создано новое правило с именем New Rule в поле Name.
В строке нового правила:
Измените название правила в поле Name.
Укажите адреса источника подключений в поле Source: единичный IP-адрес, диапазон IP-адресов, CIDR или any.
Укажите публичный адрес, доступный на Edge Gateway, в качестве адреса назначения в поле Destination; формат, как и для поля Source; как узнать доступные публичные адреса, описано в данной статье.
В поле Service нажмите на кнопку + и укажите:
- Protocol (протокол сетевого взаимодействия) – TCP/UDP/ICMP или "Any" для всех видов трафика;
- Source Port (порт источника) – "Any" для любого порта;
- Destination Port (порт назначения) – порт, к которому открываем доступ.
Важно
Если используется схема 1-to-many, необходимо указывать порт, указанный ранее как Original port в SNAT-трансляции. Пример: создана SNAT-трансляция внешнего адреса
213.108.129.3
и порта52343
во внутренний адрес10.0.0.2
и порт22228
. Таким образом, в правиле Firewall в Destination port нужно указывать порт52343
.В поле Action выберите "Accept" для разрешения прохождения трафика по данному правилу, "Deny" – для запрета.
Для сохранения изменений нажмите на кнопку Save changes.
.
Важно
Выключение Firewall через опцию Enabled приведет к остановке работы NAT-трансляций.
Если необходимо временно разрешить прохождение всего трафика, переведите последнее правило Firewall с названием default rule for ingress traffic в значение Accept в поле Action.
Совет
Не рекомендуется разрешать прохождение всего трафика извне на постоянной основе, так как это является потенциальной угрозой безопасности.
По умолчанию созданное правило размещается в верхней строке таблицы или после строки, выбранной до создания правила. Чтобы переместить правило на нужное место, воспользуйтесь кнопками управления правилом.
NSX-T
Все соединения из Интернет блокируются по умолчанию. Чтобы разрешить подключение, необходимо:
- Создать IP Set.
- Создать правило Firewall.
- Проверить подключение по RDP.
Создание IP Set
В блоке Security > IP Sets нажмите на кнопку NEW.
Заполните форму New IP Set:
- В поле Name введите название группы IP-адресов.
- В поле Description введите описание.
- В поле IP Addresses введите приватный IP-адрес VM:
10.0.0.4
. - Нажмите на кнопку ADD.
- Нажмите на кнопку SAVE.
Создание правила Firewall
В блоке Services > Firewall нажмите на кнопку EDIT RULES.
В открывшемся окне нажмите на кнопку NEW ON TOP.
Появится строка нового правила, заполните ее поля:
Name — укажите название правила;
State — активируйте переключатель, чтобы включить правило;
Applications — выберите порт:
- Нажмите на кнопку Редактировать.
- Включите опцию Choose a specific application.
- Выберите из списка RDP (TCP:
3389
). - Нажмите на кнопку SAVE.
В поле Source нажмите на кнопку Редактировать, активируйте переключатель Any Source и нажмите на кнопку SAVE.
В поле Destination нажмите на кнопку Редактировать, выберите ранее созданный IP Set и нажмите на кнопку SAVE.
В поле Action из раскрывающегося списка выберите Allow.
В поле IP Protocol из раскрывающегося списка выберите, следует ли применять правило к трафику IPv4 или IPv6.
В поле Logging при необходимости регистрировать фильтрацию, выполняемую этим правилом, активируйте переключатель.
Нажмите на кнопку SAVE.
По умолчанию созданное правило размещается в верхней строке таблицы или после строки, выбранной до создания правила. Чтобы переместить правило на нужное место, воспользуйтесь кнопками управления правилом.
Использование опции MOVE TO позволяет переместить правило в конкретную позицию (номер позиции правила указан в столбце "#").
Проверка подключения по RDP
Откройте приложение Подключение к удаленному рабочему столу.
В поле Компьютер укажите публичный IP-адрес и порт, указанный в поле External port правила NAT:
193.8.211.235:53389
.Нажмите на кнопку Подключить.
Укажите логин и пароль VM.