Пример настройки NAT и Firewall

Цель: Настроить DNAT, Firewall правила для удаленного подключения к серверу по протоколу RDP по внешним портам 60001, 3389

Настройка FW и NAT для доступа к RDP по схеме 1:1

Для того, чтобы предоставить доступ 1 к 1 по стандартному RDP порту, необходимо создать дополнительные правила FW и DNAT:

Перейдите в панель управления Виртуальным ДЦ -> Networking -> Edges -> Ваш NSX Edge -> Firewall.

На текущий момент создано разрешающее Firewall правило, которое позволяет созданным виртуальным машинам обращаться к внешней сети.

1. Добавьте правило Firewall в панели управления NSX Edge
2. Заполните параметры:
   1. Applications — можно указать, как предопределенный порт на вкладке Applications 
      
   2. Context(Опционально) — механизм идентификации сетевого трафика: определяет не просто порт по которому будет разрешён доступ, а тип приложения, например, трафик от Active Directory, обновления антивируса и прочее. Создать пользовательский профиль средствами веб-интерфейса невозможно. Укажем Network Context Profile: RDP
      
   3. Source —  ip-адрес источника в виде набора ip-адресов или любого адреса:

      

      или в виде вручную указанных адресов в виде: Адрес, Подсеть, Диапазон адресов:

      

   4. Destination — заполнение параметра подобно п.3 Source. Укажем внешний адрес NSX Edge
   5. Action — Allow, Drop, Reject — При указании Allow, FW разрешает прохождение трафика, если все параметры выше совпали, при указании Reject — запрещает прохождение трафика, отправляя источнику сообщение об отказе, при указании Drop — запрещает прохождение трафика без уведомления об этом источника.
      
3. Перейдите во вкладку NAT -> New

   

4. Укажите NAT Action — DNAT
   
5. Заполните параметры:
   1. External IP — Внешний ip-адрес
   2. External Port — Внешний порт по которому будет происходить обращение, укажем 3389
   3. Internal IP — Локальный адрес виртуальной машины на которую будет перенаправляться трафик
   4. Application — Сервис, к которому будет происходить обращение
   5. Apply to Policy Based VPN — применять NAT правило к трафику, который идёт через Policy Based VPN — рекомендуем оставлять параметр Bypass
6. Далее, разберём параметр Firewall Match
   
   
   Данный параметр — нововведение для VMware Cloud Director 10.6,  может принимать 3 значения:
   1. Match External Address — Соотношение адреса назначения с правилами Firewall будет происходить до преобразования NAT. Таким образом, для DNAT, так как в текущем примере адресом назначения является внешний адрес NSX Edge, данный параметр будет для нас целевым
   2. Match Internal Address —  Соотношение адреса назначения с правилами Firewall будет происходить после преобразования NAT. Таким образом, для DNAT, должно быть дополнительное Firewall правило, Destination которого — локальный адрес ВМ, например, первично созданное правило:
      И дополнительно нужно создать правило, которое разрешает обращаться непосредственно к ВМ:
      
   3. Bypass — Не проводит соотношения адреса назначения с правилами Firewall после преобразования NAT
7. Также, для управления порядком работы правил NAT можно изменить параметр Priority, чем ниже значение — тем выше приоритет. Когда Priority пересекающихся правил(имеющих один и тот же внешний порт, но разные назначения) одинаковое, то гарантировать стандартную схему работы правил по порядку сверху вниз в VMware Cloud Director 10.6
   

На этом, пример настройки правил FW и NAT для доступа по стандартному порту — закончен

Настройка Firewall + NAT для доступа по нестандартному порту

Создадим правило, разрешающее подключаться к NSX Edge Виртуального ДЦ из внешней сети по нестандартному порту RDP, учитывая разобранные выше параметры настроек:

1. Перейдите в панель настройки правил Firewall и нажмите New
   
2. Заполните параметры:
   1. Applications — укажите порт или диапазон портов вручную с помощью нажатия на кнопку Add в подменю Raw Port-Protocols

      
      Для нашей цели необходимо указать порты вручную, так как используется кастомный порт 60001. 

   2. Context(Опционально) — механизм идентификации сетевого трафика: определяет не просто порт по которому будет разрешён доступ, а тип приложения, например, трафик от Active Directory, обновления антивируса и прочее. Создать пользовательский профиль средствами веб-интерфейса невозможно. Укажем Network Context Profile: RDP
      
   3. Source —  ip-адрес источника в виде набора ip-адресов или любого адреса:

      

      или в виде вручную указанных адресов в виде: Адрес, Подсеть, Диапазон адресов:

      

   4. Destination — заполнение параметра подобно п.3 Source. Укажем внешний адрес NSX Edge
   5. Action — Allow, Drop, Reject — При указании Allow, FW разрешает прохождение трафика, если все параметры выше совпали, при указании Reject — запрещает прохождение трафика, отправляя источнику сообщение об отказе, при указании Drop — запрещает прохождение трафика без уведомления об этом источника.

      

3. Нажмите Save 
4. Перейдите во вкладку NAT -> New

   

5. Укажите NAT Action — DNAT
   
6. Заполните параметры:
   1. External IP — Внешний ip-адрес
   2. External Port — Внешний порт по которому будет происходить обращение, в качестве примера укажем 60001
   3. Internal IP — Локальный адрес виртуальной машины на которую будет перенаправляться трафик
   4. Application — Сервис, к которому будет происходить обращение
   5. Apply to Policy Based VPN — применять NAT правило к трафику, который идёт через Policy Based VPN — рекомендуем оставлять параметр Bypass
7. Далее, заполните параметр Firewall Match:
   
   
   Данный параметр в контексте работы с нестандартным портом работает точно также, как и при стандартном, единственное различие в том, что в поле Applications будет использоваться Raw Port Protocol 60001

   Например, для получения доступа с параметром Firewall Match: Match Internal Address необходимо также создать дополнительное правило
   Правило, разрешающее обращаться к внешнему адресу NSX Edge:
   

   И дополнительно нужно создать правило, которое разрешает обращаться непосредственно к ВМ:

   

   1. Bypass — Не проводит соотношения адреса назначения с правилами Firewall после преобразования NAT
8. Укажите приоритет правила в поле Priority. Чем меньше число, тем выше приоритет
9. Нажмите Save

   На этом, пример настройки правил FW и NAT для доступа по нестандартному порту — закончен

Эталонные правила Firewall и NAT для RDP

Эталонное правило NAT:

• NAT Action: DNAT
• External IP: Внешний IP адрес NSX Edge(IP адрес услуги)
• External Port: 3389
• Internal IP: Локальный IP адрес
• Application: RDP
• State: Active
• Firewall match: bypass (лучше указать Match External Address и добавить Firewall правило).

Эталонное правило Firewall:

• Source: Any
• Destination: Внешний IP адрес NSX Edge(IP адрес услуги)
• Application: RDP
• Action: Allow