Introdução ao VMware NSX (17 de 17)

29 de dezembro de 2015

Configurando NAT no Services Gateway

No artigo 11 dessa série foi demonstrada uma configuração de segurança utilizando o firewall distribuído nos hosts ESXi.

Nesse artigo serão demonstradas configurações de NAT e de regras de segurança utilizando o firewall do gateway de perímetro instalado no laboratório (Edge Services Gateway). Esse é um firewall de interface, diferente do firewall distribuído demonstrado anteriormente.

Para o laboratório será criado um NAT de destino (DNAT ou Destination NAT) de 10.102.3.44 para 192.168.10.11 (servidor web-01). O NAT de destino serve para traduzir o tráfego de entrada para o servidor web.

Selecionar o gateway de perímetro e a aba NAT. Clicar no botão + para adicionar uma regra de DNAT (Add DNAT Rule):

0246_NSX_NAT_and_Edge_Firewall

Selecionar a interface de uplink do gateway de perímetro, preencher o IP Original como 10.102.3.44 e o IP traduzido para 192.168.10.11 (servidor web-01). Porta e protocolo serão mantidos como any. Marcar a caixa Enabled para habilitar a regra e clicar em OK:

0247_NSX_NAT_and_Edge_Firewall

NOTA: num cenário onde ser quisesse traduzir o endereço de saída do servidor web de um IP privado para um IP público, deveria ser criada uma regra de SNAT com endereço privado do servidor como origem (192.168.10.11) e o endereço público definido como destino (10.102.3.44). Para o laboratório, onde a regra de firewall que será criada a seguir só permitirá o acesso HTTPS para o servidor web e não dele para as redes externas, não será criada regra de SNAT.

A figura abaixo mostra a regra de SNAT criada. Clicar em Publish Changes:

0248_NSX_NAT_and_Edge_Firewall

 

Testar os acesso https ao IP 10.102.3.44 para verificar que a regra de DNAT está correta (traduzindo o endereço para o servidor web-01 de IP 192.168.10.11):

0249_NSX_NAT_and_Edge_Firewall

Configurando regras de firewall no Services Gateway

Na instalação do gateway de perímetro, a regra de acesso padrão havia sido modificada para permitir todo o tráfego. Nesse artigo ela será alterada para negar todo o tráfego e serão criadas regras específicas para permitir somente o tráfego https aos endereços 10.102.3.42 e 10.102.3.42 (VIPs configurados anteriormente no serviço de balanceador do NSX Edge Gateway) e 10.102.3.44 (NAT configurado anteriormente para o servidor web-01). Também serão criadas regras permitindo tráfgo SSH e PING aos servidores web, aplicação e banco de dados, porém a partir de uma única máquina externa de gerência (de IP 10.101.3.25).

Selecionar a regra padrão e na coluna Actions, clicar no botão + para abrir o pop-up e selecionar Deny:

0250_NSX_NAT_and_Edge_Firewall

Clicar no botão + para adicionar uma nova regra. Com a nova regra selecionada, clicar no + da coluna Name e nomear como a regra como “permit web”:

0251_NSX_NAT_and_Edge_Firewall

 

0252_NSX_NAT_and_Edge_Firewall

Na coluna Destination, clicar no ícone IP e inserir os IPs 10.102.3.42, 10.102.3.43 e 10.102.3.44 (VIPs do balanceador e DNAT):

0253_NSX_NAT_and_Edge_Firewall

Na coluna Service selecionar HTTPS:

0254_NSX_NAT_and_Edge_Firewall

Na coluna Actions, selecionar Accept. Após a criação da regra clicar em Publish Changes.

0255_NSX_NAT_and_Edge_Firewall

Testar o acesso HTTPS aos IPs dos VIPs e do NAT:

0256_NSX_NAT_and_Edge_Firewall

0257_NSX_NAT_and_Edge_Firewall

Criar outra regra chamada “permit mngt” para os IPs 192.168.10.11, 192.168.10.12, 192.168.20.11, 192.168.30.11 para os serviços SSH e ICMP Echo a partir do IP de origem 10.102.3.25 e com ação de permitir (accept). Clicar em Publish Changes:

0258_NSX_NAT_and_Edge_Firewall

A figura abaixo mostra o ping para os IPs privados dos servidores web, app e db a partir de uma máquina na rede externa de IP 10.102.3.4 (ação negada):

0259_NSX_NAT_and_Edge_Firewall

A figura abaixo mostra o ping para os IPs privados dos servidores web, app e db a partir de uma máquina na rede externa de IP 10.102.3.25 (ação permitida):

0260_NSX_NAT_and_Edge_Firewall

A figura abaixo mostra uma conexão SSH para o IP privado do servidor web-01 a partir de uma máquina na rede externa de IP 10.102.3.25 (ação permitida):

0261_NSX_NAT_and_Edge_Firewall

Esse artigo finaliza a série de Introdução ao NSX. A plataforma possui diversas outras funcionalidades avançadas (incluindo integrações com outros produtos) que serão exploradas em futuros artigos.

Para acessar o primeiro artigo da série, clicar no link Introdução e componentes

Para acessar o índice dessa série de artigos clique em Introdução ao NSX – Índice

Referências

Este artigo utiliza como referências testes realizados no laboratório do Agility Tech Center e os seguintes documentos da VMware:

  • NSX Installation and Upgrade Guide (NSX 6.0 for vSphere)
  • NSX Administration Guide (NSX 6.0 for vSphere)

 

 

 

Posts relacionados