База знаний
Подключиться Консультация
Получить консультацию Подключиться
Облачные сервисы
Виртуальный рабочий стол
Передовые сервисы по предоставлению сотрудникам безопасного удалённого доступа к мощным виртуальным десктопам и корпоративным ресурсам клиента с любого устройства, из любой точки мира.
Корпоративные сервисы
Удобные сервисы для обмена документами или файлами между сотрудниками компании в том числе за пределами организации, а также настройка ИТ‑инфраструктуры «под ключ» для Вашего бизнеса от экспертов облака МТС. Благодаря этим сервисам сотрудники экономят рабочее время на выполнение ежедневным рутинных задач, тем самым повышается их эффективность.
Сетевые сервисы
Мы обеспечиваем комплекс решений по построению и оптимизации сетевой инфраструктуры. Это позволит вам быстро и эффективно реализовать необходимую связность между различными сервисами с определенными параметрами качества.
Хранение и резервирование данных
Надежно и стабильно с МТС Cloud. Мы обеспечиваем хранение любых видов и объемов данных. Это позволит вам быстро и эффективно работать с данными и приложениями.
Аренда оборудования
Сервисы собственной разработки, которые помогут повысить эффективность работы ИТ‑подразделений.
Проектные решения
Партнерские сервисы
Стать партнером
Поддержка
База Знаний #CloudMTS
База знаний #CloudMTS / Virtual Infrastructure / Виртуальные сети / Как разрешить доступ из Интернет к внутреннему порту виртуальной машины в межсетевом экране (firewall)

Как разрешить доступ из Интернет к внутреннему порту виртуальной машины в межсетевом экране (firewall)

NSX-V

Все соединения из Интернет блокируются по умолчанию. Чтобы разрешить подключение:

  • перейдите в раздел Data Centers
  • выберите виртуальный дата-центр
  • в блоке Networking перейдите в пункт Edges
  • выберите нужный виртуальный шлюз
  • нажмите на кнопку [SERVICES]
  • в окне "Edge Gateway - *название*" на вкладке Firewall нажмите на кнопку [+] - будет создано новое правило с именем New Rule в поле Name
img Увеличить

В строке нового правила измените:

  • название правила в поле Name
  • укажите адреса источника подключений в поле Source: единичный IP-адрес, диапазон IP-адресов, CIDR или any
  • укажите публичный адрес, доступный на Edge Gateway, в качестве адреса назначения в поле Destination; формат, как и для поля Source; как узнать доступные публичные адреса, описано в данной статье
  • в поле Service нажмите на кнопку [+] и укажите протокол сетевого взаимодействия (Protocol), порт источника (Source Port), порт назначения (Destination Port)

    • Protocol: из выпадающего списка выберите протокол сетевого взаимодействия (TCP/UDP/ICMP либо any для всех видов трафика)
    • Source Port: укажите Any (для любого порта)
    • Destination Port: укажите порт, к которому открываем доступ

Если используется схема 1-to-many, необходимо указывать порт, указанный ранее как Original port в SNAT-трансляции. Пример: создана SNAT-трансляция внешнего адреса 213.108.129.3 и порта 52343 во внутренний адрес 10.0.0.2 и порт 22228. Таким образом, в правиле Firewall в Destination port нужно указывать порт 52343.


  • в поле Action - выберите Accept для разрешения прохождения трафика по данному правилу, Deny – для запрета
  • для сохранения изменений нажмите на кнопку [Save changes]
img Увеличить

Выключение Firewall через опцию Enabled приведет к остановке работы NAT-трансляций.

Если необходимо временно разрешить прохождение всего трафика, то переведите последнее правило Firewall с названием "default rule for ingress traffic" в значение Accept в поле Action.

Не рекомендуется разрешать прохождение всего трафика извне на постоянной основе, так как это является потенциальной угрозой безопасности.


По умолчанию созданное правило размещается в верхней строке таблицы или после строки , выбранной до создания правила. Чтобы переместить правило на нужное место, воспользуйтесь кнопками управления правилом.

img
NSX-T

Все соединения из Интернет блокируются по умолчанию. Чтобы разрешить подключение:

Создайте IP Set

  • в блоке Security → IP Sets нажмите на кнопку [NEW]
  • заполните форму *New IP Set*:

    • в поле Name введите название группы IP-адресов
    • в поле Description введите описание
    • в поле IP Addressess введите приватный IP-адрес VM: 10.0.0.4
    • нажмите на кнопку [ADD]
    • нажмите на кнопку [SAVE]
img Увеличить
Создайте правило Firewall

  • в блоке Services → Firewall нажмите на кнопку [EDIT RULES]
  • в открывшемся окне нажмите на кнопку [NEW ON TOP]
  • появится строка нового правила, заполните ее поля:

    • Name — укажите название правила
    • State — активируйте переключатель, чтобы включить правило
    • Applications — выберите порт:

      • нажмите на Редактировать;
      • включите опцию "Choose a specific application"
      • выберите из списка RDP (TCP: 3389)
      • нажмите на кнопку [SAVE]
    • в поле Source нажмите на Редактировать, активируйте переключатель "Any Source" и нажмите [SAVE]
    • в поле Destination нажмите на Редактировать, выберите ранее созданный IP Set и нажмите [SAVE]
    • в поле Action из раскрывающегося списка выберите Allow
    • в поле IP Protocol из раскрывающегося списка выберите, следует ли применять правило к трафику IPv4 или IPv6
    • в поле Logging при необходимости регистрировать фильтрацию, выполняемую этим правилом, активируйте переключатель
  • нажмите на кнопку [SAVE]
img Увеличить

По умолчанию созданное правило размещается в верхней строке таблицы или после строки, выбранной до создания правила. Чтобы переместить правило на нужное место, воспользуйтесь кнопками управления правилом.

img

Использование опции "MOVE TO" позволяет переместить правило в конкретную позицию (номер позиции правила указан в столбце #).

img
Проверьте подключение по RDP

  • откройте приложение «Подключение к удаленному рабочему столу»;
  • в поле Компьютер укажите публичный IP-адрес и порт, указанный в поле External port правила NAT: 193.8.211.235:53389
  • нажмите на кнопку [Подключить]
  • укажите логин и пароль VM
img Увеличить

Описания и инструкции, размещаемые на данном ресурсе, носят исключительно информационный характер и не могут рассматриваться в качестве гарантий, заверений, рекомендаций или документа, порождающего какие-либо обязательства МТС. Конкретные условия использования сервисов определяются договорами с клиентом. МТС не несет ответственности за содержание публикуемых инструкций и результаты их применения клиентом. Актуальность отдельных положений публикуемых описаний и инструкций необходимо уточнять у аккаунт-менеджера или службы технической поддержки hub-support@cloud.mts.ru