Как пробросить доступ из Интернет к внутреннему порту виртуальной машины

NSX-V

Для обеспечения подключения к серверу из сети Интернет, необходимо пробросить порты с использованием NAT. Например, возможно пробросить порты для доступа по RDP или SSH, открыть доступ к веб-сайту или приложению.

Запрос на конкретный IP и порт (например, на который ссылается домен) из сети интернет. Запрос на внешний IP-адрес из сети Интернет преобразуется в соответствующий внутренний адрес с помощью NAT-трансляции. Например: подключение по адресу 176.118.99.99 по порту 80 преобразуется в подключение по адресу 192.168.100.10 по порту 80.
Преобразование IP-адреса и порта на соответствующий внутренний адрес и порт с помощью NAT-трансляции. Например: подключение по адресу 176.118.99.99 по порту 8443 преобразуется в подключение по адресу 192.168.100.10 по порту 443.

Увеличить

Добавьте правило проброса в NAT-трансляции

перейдите в раздел Data Centers
выберите виртуальный дата-центр
в блоке Networking перейдите на вкладку Edges
нажмите на нужный виртуальный шлюз
нажмите на кнопку [SERVICES]
в окне "Edge Gateway - *название*" перейдите на вкладку NAT
нажмите на кнопку [+ DNAT RULE]

Увеличить

в окне "Add DNAT Rule":
- в перечне Applied on выберите внешнюю сеть; как правило, имя этой сети заканчивается ExternalNetwork
- в поле Original IP/Range введите любой свободный внешний IP-адрес из адресов, данных в Sub-Allocated Pool; подробная информация о Sub-Allocated Pool описана в данной статье
- в перечне Protocol укажите протокол сетевого взаимодействия: TCP/UDP/ICMP или для всех видов трафика any
- в поле Original Port, введите порт, используемый для доступа из Интернет и который будет преобразован; например, 22228 для SSH или 53389 для RDP (В целях безопасности рекомендуется использовать для SSH и RDP внешние порты, отличные от 22 и 3389 и явно указывать их при подключении на стороне клиента.)
- в поле Translated IP/Range укажите IP-адрес, полученный/назначенный VM во внутренней сети
- в поле Translated Port укажите порт, на который будет отправлен запрос на VM; указывается порт сервиса для подключения
- включите опцию Enabled
- для сохранения правила нажмите на кнопку [KEEP]

Увеличить

для сохранения изменений нажмите на кнопку [Save changes]

Увеличить

Для разрешения доступа из Интернет к внутреннему порту виртуальной машины также требуется разрешение на firewall. Подробнее о дальнейших настройках написано в статье «Как разрешить доступ из Интернет к внутреннему порту виртуальной машины в межсетевом экране (firewall)».

Обратите внимание на порядок правил в NAT-трансляциях. Правила применяются сверху вниз – от первого к последнему. При включении некоторых сервисов на Edge Gateway некоторые системные правила и в NAT, и в Firewall (например, при настройке IPsec) будут появляться в списке. Отличительная особенность данных правил – наличие слова «Internal» в поле Type. Эти правила будут недоступны для редактирования администратором.

Чтобы системные правила не мешали при работе по добавлению правил, выставите отображение только созданных администратором правил – включите опцию Show only user-defined rules.

Чтобы переместить правило на нужное место, воспользуйтесь кнопками управления правилами.

NSX-T

Запрос на конкретный IP и порт (например, на который ссылается домен) из сети интернет. Запрос на внешний IP-адрес из сети Интернет преобразуется в соответствующий внутренний адрес с помощью NAT-трансляции. Например: подключение по адресу 176.118.99.99 по порту 80 преобразуется в подключение по адресу 192.168.100.10 по порту 80.
Преобразование IP-адреса и порта на соответствующий внутренний адрес и порт с помощью NAT-трансляции. Например: подключение по адресу 176.118.99.99 по порту 8443 преобразуется в подключение по адресу 192.168.100.10 по порту 443.

Увеличить

Добавьте правило проброса в NAT-трансляции

перейдите в раздел Data Centers нажмите на карточку виртуального дата-центра
перейдите на вкладку Edges
выберите Edge Gateway, нажмите на него
в блоке Services → NAT нажмите на кнопку [NEW]
заполните форму *Add NAT Rule*:
- в поле Name введите название правила
- в поле Description введите описание, если это необходимо
- в поле Interface Type введите тип правила — DNAT
- в поле External IP введите публичный IP-адрес Edge Gateway: 193.8.211.235
- в поле External Port введите порт подключения по публичному адресу тенанта: 53389
- в поле Internal IP введите приватный IP-адрес VM: 10.0.0.4
- в поле Application введите порт назначения в VM:
  - нажмите на Редактировать
  - включите опцию "Choose a specific application"
  - выберите из списка RDP (TCP: 3389)

Увеличить

нажмите на кнопку [SAVE]

Увеличить

Кроме того, для разрешения доступа из Интернет к внутреннему порту виртуальной машины требуется разрешение на firewall. Подробнее о дальнейших настройках написано в данной статье.

Описания и инструкции, размещаемые на данном ресурсе, носят исключительно информационный характер и не могут рассматриваться в качестве гарантий, заверений, рекомендаций или документа, порождающего какие-либо обязательства МТС. Конкретные условия использования сервисов определяются договорами с клиентом. МТС не несет ответственности за содержание публикуемых инструкций и результаты их применения клиентом. Актуальность отдельных положений публикуемых описаний и инструкций необходимо уточнять у аккаунт-менеджера или службы технической поддержки support@cloud.mts.ru