Перенаправление портов

База знаний

Перенаправление (проброс) портов через NAT требуется для обеспечения доступа к виртуальной машине извне. Например, вы можете создать соответствующие правила для подключения к виртуальной машине по протоколу RDP или SSH, открыть доступ к веб-сайту или приложению.

Для настройки проброса портов необходимо настроить правила DNAT (Destination NAT) и Firewall.

Перейдите в раздел Networking -> Edge Gateways и выберете необходимый VEG. В левом меню выберете пункт Gateway Interfaces и запишите или скопируйте параметры сети. Они понадобятся для настройки

Для настройки DNAT

В разделе Services перейдите на вкладку NAT и в блоке с правилами NAT44 Rules нажмите +DNAT RULE, чтобы создать правило DNAT, которое позволит подключаться к VM во внутренней сети, используя внешний IP адрес VEG.

В окне настройки правила укажите:

Applied On – внешняя сеть, подключенная к VEG. В пункте Gateway Interfaces она указана в столбце External Network
Original IP/Range – укажите внешний IP адрес VEG. В пункте Gateway Interfaces он указан в столбце Primary IP
Protocol – укажите используемый протокол: TCP или UDP.
Original port – укажите порт, который будет доступен снаружи. В целях безопасности рекомендуется использовать порты отличные от портов по умолчанию. Например, для протокола RDP используется TCP порт 3389. В поле Original port можно указать 63389.
Translated IP/Range – укажите IP адрес VM, к которой нужно подключаться. Так же можно указать диапазон адресов сети дата-центра.
Translated Port – укажите порт, к которому нужно подключиться на виртуальной машине. Например, для протокола RDP используется TCP порт 3389.
Source IP Address – укажите Any, либо внешний IP адрес или подсеть, если необходимо применять правило только для трафика, который приходит с указанных IP-адресов или подсетей.
Source Port – укажите Any, либо порт с которого будут инициированы запросы.
Description – введите описание. Это поможет вам в будущем понять, для чего было создано правило.
Enabled– установите, что сразу включить правило.
Enable logging – установите, если необходимо регистрировать работу правила

Нажмите KEEP для добавления правила.

Нажмите Save changes для применения правила.

Для настройки Firewall

В разделе Services перейдите на вкладку Firewall и нажмите +. В таблице появится строка нового правила (New Rule).

По умолчанию Firewall находится в режиме Deny — блокировка трафика. Рекомендуется следовать следующему принципу для правил: запрещено все, кроме разрешенного трафика. Таким образом, в правилах вы указываете, какой трафик разрешать.

Для создания правила укажите:

Name – название правила. Например, RDP.
Source – укажите конкретный IP адрес, либо диапазон адресов, с которых планируется подключаться. Вы также можете указать сеть целиком или же заранее создать IP Set, наполнив его необходимыми IP адресами и сетями.
Destination – укажите внешний IP адрес VEG. В пункте Gateway Interfaces он указан в столбце Primary IP
Service – нажмите «+» и в открывшемся окне укажите:

Protocol– укажите необходимый протокол. Например TCP, если вы настраиваете доступ по RDP.

Source Port – используйте значение Any, если вы точно не знаете порт с которого будут инициированы запросы.

Destination Port –укажите порт, который будет доступен снаружи. Он должен совпадать с тем, который вы вводили при настройке DNAT в поле Original port

Action – установите значение Accept.

Нажмите Save changes для применения правила.

Если VEG работает некорректно

используйте Redeploy. Кнопка располагается рядом с названием VEG

Важно: при использовании Redeploy сетевые сервисы некоторое время будут недоступны

Бесплатно проконсультируем по вашим вопросам

Заказать звонок