Hairpin NAT на Edge Gateway

Hairpin NAT можно использовать для доступа к узлу за NAT, находясь за этим же NAT.

В данной инструкции рассмотрена настройка Hairpin NAT на Edge Gateway через интерфейс VMware Cloud Director.

Рассмотрим пример настройки доступа по внешнему IP адреса с Workstation к Web Server, где Workstation и Web Server находятся за одним NAT. Веб-трафик между Workstation и Web Server будет проходить через Edge Gateway. На схеме ниже изображены 4 этапа передачи пакетов.

 

Как это работает

Stage 1: Workstation отправляет пакет с своего локального адреса 192.168.255.2 на внешний адрес Edge Gateway 176.53.180.81;

Stage 2: Edge Gateway заменяет адрес источника SrcIP Workstation 192.168.255.2 на адрес Edge Gateway 192.168.2.1, а адрес назначения DstIP Web Server на адрес Web Server 192.168.255.10;

Stage 3: Web Server, получив пакет с адреса Edge Gateway 192.168.2.1, отправляет ответ на адрес Edge Gateway 192.168.2.1;

Stage 4: Edge Gateway с помощью Connection Tracker подменяет замененные на Stage 2 адреса на изначальные и отправляет ответ от Web Server на Workstation.

 

Настройка Firewall на Edge Gateway

Пример настройки правил Firewall на скриншоте ниже.

Для доступа к Web Server с Workstation используется правило № 3.

Для доступа к Web Server из Интернет используется правило № 4.

Настройка NAT на Edge Gateway

Пример настройки NAT на скриншоте ниже.

Правила NAT, примененные (Applied on) к Uplink интерфейсу Edge Gateway, используемые для доступа к Web Server из Интернет и доступа с Web Server и с Workstation в Интернет:

196609 – SNAT – для доступа в Интернет с машин в локальной сети;

196610 – DNAT – проброс 80/tcp порта из Интернет;

196611 – DNAT - проброс 443/tcp порта из Интернет;

 

Правила, примененные (Applied on) к локальному интерфейсу Edge Gateway, используемые для Hairpin NAT:

196612 – SNAT – подмена адреса Workstation на адрес Edge Gateway в локальной сети (между Stage 1 и Stage 2);

196613 – DNAT – подмена внешнего IP на адрес Web Server (между этапами 1 и 2) для http трафика (80/tcp);

196614 – DNAT – подмена внешнего IP на адрес Web Server (между этапами 1 и 2) для https трафика (443/tcp);

В графе Applied on для «Hairpin-правил» нужно указать локальный интерфейс Edge Gateway.

 

Проброс других портов

Вы также можете сделать Hairpin NAT для других портов/протоколов, создав дополнительные DNAT правила, аналогичные правилам для HTTP и HTTPS.

Вы уже работаете с сервисами Cloud4Y?

Перейти на вебсайт

Попробовать бесплатно

  • NAT, Hairpin NAT, Cloud, Director
  • 3 Пользователи нашли это полезным
Помог ли вам данный ответ?

Связанные статьи

Балансировка нагрузки с помощью advanced edge

Балансировщик нагрузки, встроенный в advanced edge, принимает UDP, TCP, HTTP, HTTPS запросы и...

Сетевая настройка VMware инфраструктуры (NAT, DHCP, Firewall, Static Routing, VPN)

Сетевая настройка VMware инфраструктуры (NAT, DHCP, Firewall, Static Routing, VPN). После того,...

Как выполнить Redeploy Edge Gateway

В случае, если Edge Gateway работает некорректно, при изменении настроек Edge Gateway или VDC...

Как узнать внешний IP адрес?

Внешний IP адрес Вы можете найти в следующем разделе vCloud Director: выберите в меню слева...

Как предоставить доступ к сервисам виртуальной машины из Интернет?

Предоставление доступа к сервисам виртуальной машины производится через трансляцию внешнего...