Hairpin NAT на Edge Gateway

Hairpin NAT можно использовать для доступа к узлу за NAT, находясь за этим же NAT.

В данной инструкции рассмотрена настройка Hairpin NAT на Edge Gateway через интерфейс VMware Cloud Director.

Рассмотрим пример настройки доступа по внешнему IP адреса с Workstation к Web Server, где Workstation и Web Server находятся за одним NAT. Веб-трафик между Workstation и Web Server будет проходить через Edge Gateway. На схеме ниже изображены 4 этапа передачи пакетов.

 

Как это работает

Stage 1: Workstation отправляет пакет с своего локального адреса 192.168.255.2 на внешний адрес Edge Gateway 176.53.180.81;

Stage 2: Edge Gateway заменяет адрес источника SrcIP Workstation 192.168.255.2 на адрес Edge Gateway 192.168.2.1, а адрес назначения DstIP Web Server на адрес Web Server 192.168.255.10;

Stage 3: Web Server, получив пакет с адреса Edge Gateway 192.168.2.1, отправляет ответ на адрес Edge Gateway 192.168.2.1;

Stage 4: Edge Gateway с помощью Connection Tracker подменяет замененные на Stage 2 адреса на изначальные и отправляет ответ от Web Server на Workstation.

 

Настройка Firewall на Edge Gateway

Пример настройки правил Firewall на скриншоте ниже.

Для доступа к Web Server с Workstation используется правило № 3.

Для доступа к Web Server из Интернет используется правило № 4.

Настройка NAT на Edge Gateway

Пример настройки NAT на скриншоте ниже.

Правила NAT, примененные (Applied on) к Uplink интерфейсу Edge Gateway, используемые для доступа к Web Server из Интернет и доступа с Web Server и с Workstation в Интернет:

196609 – SNAT – для доступа в Интернет с машин в локальной сети;

196610 – DNAT – проброс 80/tcp порта из Интернет;

196611 – DNAT - проброс 443/tcp порта из Интернет;

 

Правила, примененные (Applied on) к локальному интерфейсу Edge Gateway, используемые для Hairpin NAT:

196612 – SNAT – подмена адреса Workstation на адрес Edge Gateway в локальной сети (между Stage 1 и Stage 2);

196613 – DNAT – подмена внешнего IP на адрес Web Server (между этапами 1 и 2) для http трафика (80/tcp);

196614 – DNAT – подмена внешнего IP на адрес Web Server (между этапами 1 и 2) для https трафика (443/tcp);

В графе Applied on для «Hairpin-правил» нужно указать локальный интерфейс Edge Gateway.

 

Проброс других портов

Вы также можете сделать Hairpin NAT для других портов/протоколов, создав дополнительные DNAT правила, аналогичные правилам для HTTP и HTTPS.

  • NAT, Hairpin NAT, Cloud, Director
  • 0 Пользователи нашли это полезным
Помог ли вам данный ответ?

Связанные статьи

Сетевая настройка VMware инфраструктуры (NAT, DHCP, Firewall, Static Routing, VPN)

Сетевая настройка VMware инфраструктуры (NAT, DHCP, Firewall, Static Routing, VPN). После того,...

Как изменить размер диска виртуальной машины?

Для увеличения размера диска виртуальной машины:1. В Панели управления облаком перейдите на...

Как включить и выключить виртуальную машину

Виртуальная машина может быть включена (Powered On), выключена (Powered Off) и приостановлена...

Как загрузить виртуальную машину в BIOS?

Для загрузки виртуальной машины в BIOS необходимо выключить ВМ, в панели управления облаком зайти...

Как загрузить виртуальную машину с ISO образа CD/DVD?

Для загрузки виртуальной машины с ISO образа необходимо:1. Нажать на машине кнопку "ACTIONS" и...

Powered by WHMCompleteSolution