EDGE GATEWAY HAİRPAİN NAT OLUŞTURMA
EDGE GATEWAY HAİRPAİN NAT OLUŞTURMA
Hairpain NAT, bir NAT’ın arkasındaki bir ana bilgisayara erişmek ve aynı zamanda aynı NAT’ın arkasında olmak için kullanılabilir.
Bu kılavuz, VMware Cloud Director arabirimi aracılığıyla Edge Gateway’de Hairpin NAT’nin yapılandırılmasını kapsar.
Workstation ve Web Server aynı NAT’ın arkasında olduğu İş İstasyonundan Web Sunucusuna harici IP adresi erişimini yapılandırma örneğine bakalım. İş İstasyonu ve Web Sunucusu arasındaki web trafiği, Edge Gateway üzerinden yönlendirilecektir. Aşağıdaki şema, paket aktarımının 4 aşamasını göstermektedir.
NASIL ÇALIŞIR
Aşama 1 : İş istasyonu, yerel adresi 192.168.255.2’den Edge Gateway harici adresi 176.53.180.81’e bir paket gönderir;
Aşama 2 : Edge Gateway, İş İstasyonunun SrcIP kaynak adresi 192.168.255.2’yi Edge Gateway adresi 192.168.255.1 ile ve DstIP Web Sunucusu hedef adresini Web Sunucusu adresi 192.168.255.10 ile değiştirir;
Aşama 3 : Edge Gateway 192.168.255.1 adresinden bir paket alan Web Sunucusu, Edge Gateway 192.168.255.1 adresine bir yanıt gönderir;
Aşama 4 : Edge Gateway, Aşama 2’de değiştirilen adresleri orijinal adreslerle değiştirmek için Bağlantı İzleyiciyi kullanır ve Web Sunucusundan İş İstasyonuna bir yanıt gönderir.
Edge Gateway’de Güvenlik Duvarını Yapılandırma
Aşağıdaki ekran görüntüsünde Güvenlik Duvarı kurallarını yapılandırma örneği.
Kural #3, İş İstasyonundan Web Sunucusuna erişmek için kullanılır.
Kural #4 İnternet’ten Web Sunucusuna erişmek için kullanılır.
EDGE GATEWAY’DE NAT’I YAPILANDIRMA
Aşağıdaki ekran görüntüsünde bir NAT yapılandırması örneği gösterilmektedir.
İnternet’ten Web Sunucusuna erişmek ve Web Sunucusu ve İş İstasyonundan İnternet’e erişmek için kullanılan Edge Gateway Uplink arayüzüne uygulanan NAT kuralları:
196609 – SNAT – yerel ağdaki makinelerden İnternet’e erişim için;
196610 – DNAT – İnternet’ten 80/tcp bağlantı noktası yönlendirme;
196611 – DNAT – İnternet’ten 443/tcp bağlantı noktası iletme;
Hairpin NAT için kullanılan yerel Edge Gateway arabiriminde uygulanan kurallar:
196612 – SNAT – Yerel ağdaki Edge Gateway adresine iş istasyonu adresi sahtekarlığı (Aşama 1 ve Aşama 2 arasında);
196613 – DNAT – http trafiği (80/tcp) için Web Sunucusu adresine (Aşama 1 ve Aşama 2 arasında) harici IP ikamesi;
196614 – DNAT – https trafiği (443/tcp) için harici IP’nin Web Sunucusu adresine (aşama 1 ve 2 arasında) ikame edilmesi;
“Hairpin kuralları” için Uygulanan sütununda, yerel Edge Gateway arabirimini belirtmelisiniz.
Başka bir bağlantı noktası yönlendirme
Ayrıca HTTP ve HTTPS için olanlara benzer ek DNAT kuralları oluşturarak diğer bağlantı noktaları/protokoller için Hairpain NAT yapabilirsiniz.