Blog Agility

Introdução ao VMware NSX (17 de 17)

Introdução ao VMware NSX (17 de 17)

Configurando NAT no Services Gateway

No artigo 11 dessa série foi demonstrada uma configuração de segurança utilizando o firewall distribuído nos hosts ESXi.

Nesse artigo serão demonstradas configurações de NAT e de regras de segurança utilizando o firewall do gateway de perímetro instalado no laboratório (Edge Services Gateway). Esse é um firewall de interface, diferente do firewall distribuído demonstrado anteriormente.

Para o laboratório será criado um NAT de destino (DNAT ou Destination NAT) de 10.102.3.44 para 192.168.10.11 (servidor web-01). O NAT de destino serve para traduzir o tráfego de entrada para o servidor web.

Selecionar o gateway de perímetro e a aba NAT. Clicar no botão + para adicionar uma regra de DNAT (Add DNAT Rule):

0246_NSX_NAT_and_Edge_Firewall

Selecionar a interface de uplink do gateway de perímetro, preencher o IP Original como 10.102.3.44 e o IP traduzido para 192.168.10.11 (servidor web-01). Porta e protocolo serão mantidos como any. Marcar a caixa Enabled para habilitar a regra e clicar em OK:

0247_NSX_NAT_and_Edge_Firewall

NOTA: num cenário onde ser quisesse traduzir o endereço de saída do servidor web de um IP privado para um IP público, deveria ser criada uma regra de SNAT com endereço privado do servidor como origem (192.168.10.11) e o endereço público definido como destino (10.102.3.44). Para o laboratório, onde a regra de firewall que será criada a seguir só permitirá o acesso HTTPS para o servidor web e não dele para as redes externas, não será criada regra de SNAT.

A figura abaixo mostra a regra de SNAT criada. Clicar em Publish Changes:

0248_NSX_NAT_and_Edge_Firewall

 

Testar os acesso https ao IP 10.102.3.44 para verificar que a regra de DNAT está correta (traduzindo o endereço para o servidor web-01 de IP 192.168.10.11):

0249_NSX_NAT_and_Edge_Firewall

Configurando regras de firewall no Services Gateway

Na instalação do gateway de perímetro, a regra de acesso padrão havia sido modificada para permitir todo o tráfego. Nesse artigo ela será alterada para negar todo o tráfego e serão criadas regras específicas para permitir somente o tráfego https aos endereços 10.102.3.42 e 10.102.3.42 (VIPs configurados anteriormente no serviço de balanceador do NSX Edge Gateway) e 10.102.3.44 (NAT configurado anteriormente para o servidor web-01). Também serão criadas regras permitindo tráfgo SSH e PING aos servidores web, aplicação e banco de dados, porém a partir de uma única máquina externa de gerência (de IP 10.101.3.25).

Selecionar a regra padrão e na coluna Actions, clicar no botão + para abrir o pop-up e selecionar Deny:

0250_NSX_NAT_and_Edge_Firewall

Clicar no botão + para adicionar uma nova regra. Com a nova regra selecionada, clicar no + da coluna Name e nomear como a regra como “permit web”:

0251_NSX_NAT_and_Edge_Firewall

 

0252_NSX_NAT_and_Edge_Firewall

Na coluna Destination, clicar no ícone IP e inserir os IPs 10.102.3.42, 10.102.3.43 e 10.102.3.44 (VIPs do balanceador e DNAT):

0253_NSX_NAT_and_Edge_Firewall

Na coluna Service selecionar HTTPS:

0254_NSX_NAT_and_Edge_Firewall

Na coluna Actions, selecionar Accept. Após a criação da regra clicar em Publish Changes.

0255_NSX_NAT_and_Edge_Firewall

Testar o acesso HTTPS aos IPs dos VIPs e do NAT:

0256_NSX_NAT_and_Edge_Firewall

0257_NSX_NAT_and_Edge_Firewall

Criar outra regra chamada “permit mngt” para os IPs 192.168.10.11, 192.168.10.12, 192.168.20.11, 192.168.30.11 para os serviços SSH e ICMP Echo a partir do IP de origem 10.102.3.25 e com ação de permitir (accept). Clicar em Publish Changes:

0258_NSX_NAT_and_Edge_Firewall

A figura abaixo mostra o ping para os IPs privados dos servidores web, app e db a partir de uma máquina na rede externa de IP 10.102.3.4 (ação negada):

0259_NSX_NAT_and_Edge_Firewall

A figura abaixo mostra o ping para os IPs privados dos servidores web, app e db a partir de uma máquina na rede externa de IP 10.102.3.25 (ação permitida):

0260_NSX_NAT_and_Edge_Firewall

A figura abaixo mostra uma conexão SSH para o IP privado do servidor web-01 a partir de uma máquina na rede externa de IP 10.102.3.25 (ação permitida):

0261_NSX_NAT_and_Edge_Firewall

Esse artigo finaliza a série de Introdução ao NSX. A plataforma possui diversas outras funcionalidades avançadas (incluindo integrações com outros produtos) que serão exploradas em futuros artigos.

Para acessar o primeiro artigo da série, clicar no link Introdução e componentes

Para acessar o índice dessa série de artigos clique em Introdução ao NSX – Índice

Referências

Este artigo utiliza como referências testes realizados no laboratório do Agility Tech Center e os seguintes documentos da VMware:

  • NSX Installation and Upgrade Guide (NSX 6.0 for vSphere)
  • NSX Administration Guide (NSX 6.0 for vSphere)