Разрешение доступа из Интернет к внутреннему порту VM в межсетевом экране (firewall) ​

NSX-V ​

Все соединения из Интернет блокируются по умолчанию. Чтобы разрешить подключение:

1. Перейдите в раздел Data Centers.

2. Выберите виртуальный дата-центр.

3. В блоке Networking перейдите в пункт Edges.

4. Выберите нужный виртуальный шлюз.

5. Нажмите на кнопку SERVICES.

6. В окне Edge Gateway – "название" на вкладке Firewall нажмите на кнопку "+" – будет создано новое правило с именем New Rule в поле Name.

   

7. В строке нового правила:

   • Измените название правила в поле Name.

   • Укажите адреса источника подключений в поле Source: единичный IP-адрес, диапазон IP-адресов, CIDR или any.

   • Укажите публичный адрес, доступный на Edge Gateway, в качестве адреса назначения в поле Destination; формат, как и для поля Source; как узнать доступные публичные адреса, описано в данной статье.

   • В поле Service нажмите на кнопку + и укажите:

     • Protocol (протокол сетевого взаимодействия) – TCP/UDP/ICMP или "Any" для всех видов трафика;
     • Source Port (порт источника) – "Any" для любого порта;
     • Destination Port (порт назначения) – порт, к которому открываем доступ.

   Важно

   Если используется схема 1-to-many, необходимо указывать порт, указанный ранее как Original port в SNAT-трансляции. Пример: создана SNAT-трансляция внешнего адреса 213.108.129.3 и порта 52343 во внутренний адрес 10.0.0.2 и порт 22228. Таким образом, в правиле Firewall в Destination port нужно указывать порт 52343.

8. В поле Action выберите "Accept" для разрешения прохождения трафика по данному правилу, "Deny" – для запрета.

9. Для сохранения изменений нажмите на кнопку Save changes.

   .

NSX-T ​

Все соединения из Интернет блокируются по умолчанию. Чтобы разрешить подключение, необходимо:

1. Создать IP Set.
2. Создать правило Firewall.
3. Проверить подключение по RDP.

Создание IP Set ​

1. В блоке Security > IP Sets нажмите на кнопку NEW.

2. Заполните форму New IP Set:

   • В поле Name введите название группы IP-адресов.
   • В поле Description введите описание.
   • В поле IP Addresses введите приватный IP-адрес VM: 10.0.0.4.
   • Нажмите на кнопку ADD.
   • Нажмите на кнопку SAVE.

   

Создание правила Firewall ​

1. В блоке Services > Firewall нажмите на кнопку EDIT RULES.

2. В открывшемся окне нажмите на кнопку NEW ON TOP.

3. Появится строка нового правила, заполните ее поля:

   • Name — укажите название правила;

   • State — активируйте переключатель, чтобы включить правило;

   • Applications — выберите порт:

     • Нажмите на кнопку Редактировать.
     • Включите опцию Choose a specific application.
     • Выберите из списка RDP (TCP: 3389).
     • Нажмите на кнопку SAVE.

   • В поле Source нажмите на кнопку Редактировать, активируйте переключатель Any Source и нажмите на кнопку SAVE.

   • В поле Destination нажмите на кнопку Редактировать, выберите ранее созданный IP Set и нажмите на кнопку SAVE.

   • В поле Action из раскрывающегося списка выберите Allow.

   • В поле IP Protocol из раскрывающегося списка выберите, следует ли применять правило к трафику IPv4 или IPv6.

   • В поле Logging при необходимости регистрировать фильтрацию, выполняемую этим правилом, активируйте переключатель.

4. Нажмите на кнопку SAVE.

   

По умолчанию созданное правило размещается в верхней строке таблицы или после строки, выбранной до создания правила. Чтобы переместить правило на нужное место, воспользуйтесь кнопками управления правилом.

Использование опции MOVE TO позволяет переместить правило в конкретную позицию (номер позиции правила указан в столбце "#").

Проверка подключения по RDP ​

1. Откройте приложение Подключение к удаленному рабочему столу.

2. В поле Компьютер укажите публичный IP-адрес и порт, указанный в поле External port правила NAT: 193.8.211.235:53389.

3. Нажмите на кнопку Подключить.

4. Укажите логин и пароль VM.