Configurando NAT no Services Gateway
No artigo 11 dessa série foi demonstrada uma configuração de segurança utilizando o firewall distribuído nos hosts ESXi.
Nesse artigo serão demonstradas configurações de NAT e de regras de segurança utilizando o firewall do gateway de perímetro instalado no laboratório (Edge Services Gateway). Esse é um firewall de interface, diferente do firewall distribuído demonstrado anteriormente.
Para o laboratório será criado um NAT de destino (DNAT ou Destination NAT) de 10.102.3.44 para 192.168.10.11 (servidor web-01). O NAT de destino serve para traduzir o tráfego de entrada para o servidor web.
Selecionar o gateway de perímetro e a aba NAT. Clicar no botão + para adicionar uma regra de DNAT (Add DNAT Rule):
Selecionar a interface de uplink do gateway de perímetro, preencher o IP Original como 10.102.3.44 e o IP traduzido para 192.168.10.11 (servidor web-01). Porta e protocolo serão mantidos como any. Marcar a caixa Enabled para habilitar a regra e clicar em OK:
NOTA: num cenário onde ser quisesse traduzir o endereço de saída do servidor web de um IP privado para um IP público, deveria ser criada uma regra de SNAT com endereço privado do servidor como origem (192.168.10.11) e o endereço público definido como destino (10.102.3.44). Para o laboratório, onde a regra de firewall que será criada a seguir só permitirá o acesso HTTPS para o servidor web e não dele para as redes externas, não será criada regra de SNAT.
A figura abaixo mostra a regra de SNAT criada. Clicar em Publish Changes:
Testar os acesso https ao IP 10.102.3.44 para verificar que a regra de DNAT está correta (traduzindo o endereço para o servidor web-01 de IP 192.168.10.11):
Configurando regras de firewall no Services Gateway
Na instalação do gateway de perímetro, a regra de acesso padrão havia sido modificada para permitir todo o tráfego. Nesse artigo ela será alterada para negar todo o tráfego e serão criadas regras específicas para permitir somente o tráfego https aos endereços 10.102.3.42 e 10.102.3.42 (VIPs configurados anteriormente no serviço de balanceador do NSX Edge Gateway) e 10.102.3.44 (NAT configurado anteriormente para o servidor web-01). Também serão criadas regras permitindo tráfgo SSH e PING aos servidores web, aplicação e banco de dados, porém a partir de uma única máquina externa de gerência (de IP 10.101.3.25).
Selecionar a regra padrão e na coluna Actions, clicar no botão + para abrir o pop-up e selecionar Deny:
Clicar no botão + para adicionar uma nova regra. Com a nova regra selecionada, clicar no + da coluna Name e nomear como a regra como “permit web”:
Na coluna Destination, clicar no ícone IP e inserir os IPs 10.102.3.42, 10.102.3.43 e 10.102.3.44 (VIPs do balanceador e DNAT):
Na coluna Service selecionar HTTPS:
Na coluna Actions, selecionar Accept. Após a criação da regra clicar em Publish Changes.
Testar o acesso HTTPS aos IPs dos VIPs e do NAT:
Criar outra regra chamada “permit mngt” para os IPs 192.168.10.11, 192.168.10.12, 192.168.20.11, 192.168.30.11 para os serviços SSH e ICMP Echo a partir do IP de origem 10.102.3.25 e com ação de permitir (accept). Clicar em Publish Changes:
A figura abaixo mostra o ping para os IPs privados dos servidores web, app e db a partir de uma máquina na rede externa de IP 10.102.3.4 (ação negada):
A figura abaixo mostra o ping para os IPs privados dos servidores web, app e db a partir de uma máquina na rede externa de IP 10.102.3.25 (ação permitida):
A figura abaixo mostra uma conexão SSH para o IP privado do servidor web-01 a partir de uma máquina na rede externa de IP 10.102.3.25 (ação permitida):
Esse artigo finaliza a série de Introdução ao NSX. A plataforma possui diversas outras funcionalidades avançadas (incluindo integrações com outros produtos) que serão exploradas em futuros artigos.
Para acessar o primeiro artigo da série, clicar no link Introdução e componentes
Para acessar o índice dessa série de artigos clique em Introdução ao NSX – Índice
Referências
Este artigo utiliza como referências testes realizados no laboratório do Agility Tech Center e os seguintes documentos da VMware:
- NSX Installation and Upgrade Guide (NSX 6.0 for vSphere)
- NSX Administration Guide (NSX 6.0 for vSphere)