Вы находитесь на странице: 1из 2

Hairpin NAT

Для получения доступа виртуальных машин в одной сети, подключенной к Edge по


внешнему IP необходимо настроить правила DNAT и SNAT.

Есть две сети:

 Внешняя – 000000002-ext-ipv4-v1546
 Внутренняя - Test-SIP_Internal

Есть две виртуальные машины (VM) в одной сети (Имя VM: External > Internal)

 VM1: 178.163.224.24 > 192.168.188.3


 VM2: 178.163.224.24 > 192.168.188.4

Создаем два правила для доступа из вне к VM1 и VM2 по необходимым протоколам (в данном
примере описан доступ по SSH).
Таблица 1: Правила NAT для доступа к VM из вне

Action Applied on Original Translated Protocol


IP Address Port IP Address Port
DNAT 000000002-ext-ipv4-v1546 178.163.224.24 22 192.168.188.3 22 TCP
DNAT 000000002-ext-ipv4-v1546 178.163.224.24 2222 192.168.188.4 22 TCP

Рисунок 1: Описание правил NAT на Edge

При наличии только этих правил доступ к VM осуществляется только через внешний IP, но
внутренние пользователи не смогут получить доступ к VM по внешнему IP адресу. Как правило
такое необходимо в случае если используется доступ по DNS-имени извне (т.е. в составе
ландшафта нет внутреннего DNS либо записей в файле hosts для резолва DNS-имени во
внутренний IP-адрес). Для создания функционала Hairpin NAT необходимо продублировать
правила, созданные ранее (в таблице 1) на интерфейсе внутренней сети, а так же создать правило
SNAT для каждой VM. Правило DNAT необходимо для подмены адреса получателя, a SNAT –
отправителя. При обращении к внешнему адресу VM1 c VM2 из внутренней сети происходит
сработка правил DNAT (в нашем примере SSH VM1) и SNAT (в нашем примере hpin VM2), которые
применяется на внутреннюю сеть. В связи с тем, что в правилах SNAT мы не можем определять
порты, то подмена исходящего IP адреса будет происходить в пакетах, отправленных на любой
порт.
Таблица 2: Правила NAT и SNAT

Action Applied on Original Translated Protocol Description


IP Address Port IP Address Port
DNAT Test-SIP_Internal 178.163.224.24 22 192.168.188.3 22 TCP SSH VM1
DNAT Test-SIP_Internal 178.163.224.24 2222 192.168.188.4 22 TCP SSH VM2
SNAT Test-SIP_Internal 192.168.188.3 Any 178.163.224.24 Any Any hpin VM1
SNAT Test-SIP_Internal 192.168.188.4 Any 178.163.224.24 Any Any hpin VM2
Рисунок 2: Правила DNAT и SNAT на Edge

Если VM из внутренней сети должны подключаться к внешней сети, то необходимо ниже


добавить правило SNAT.
Таблица 3: Правило SNAT для доступа VM во внешнюю сеть

Action Applied on Original Translated Protocol


IP Address Port IP Address Port
SNAT 000000002-ext-ipv4-v1546 192.168.188.0/24 Any 178.163.224. 24 Any Any

Рисунок 3: Правила DNAT и SNAT