Arborescence des pages
Aller directement à la fin des métadonnées
Aller au début des métadonnées

Par défaut le firewall est configuré pour bloquer toutes les communications en dehors du DHCP sur votre réseau interne.
Vous devez définir les règles qui conviennent à vos besoins. 

Votre passerelle Edge est le dispositif qui réalise la fonctionnalité de filtrage réseau. C'est donc cette passerelle que vous devez créer vos règles DNAT, SNAT et NAT. 

Voici une petite explication de leur usage : 

RègleNom CommunDescription
NATNetwork Address TranslationNom générique utilisé quand on parle de translation d'adresse sur un réseau au moment de traverser un routeur ou un équipement actif.
DNATDestination NAT

Une règle DNAT modifie l'adresse de destination du paquet qui traverse le routeur (votre passerelle Edge) . Utilisé principalement pour acheminer un paquet arrivant sur une interface publique pour une certaine une IP publique que l'on souhaite délivrer à une VM étant sur un réseau privé.
Pour Schématiser, SNAT est utilisé quand une communication est faite DEPUIS un réseau Publique VERS un réseau Privé

SNATSource NATUne règle SNAT modifie l'adresse source du paquet qui traverse le routeur (votre passerelle Edge) . Utilisé principalement pour acheminer un paquet arrivant sur une interface privée depuis une certaine une IP privé ou un réseau privé souhaitant communiquer avec un réseau externe (Publique). Pour Schématiser, SNAT est utilisé quand une communication est faite DEPUIS un réseau privé VERS un réseau Publique

Au niveau de votre VDC, le firewall n'est pas configuré pour autoriser des communications depuis l'interne vers l'externe . Il n'est pas non plus configuré pour autoriser une communication externe vers l'interne.
Vous devez donc configurer au moins une règle SNAT pour sortir sur internet (réseau publique externe) et une règle DNAT si vous souhaitez héberger un service dans votre réseau privé accessible depuis le réseau publique. 

Création d'une règle SNAT (et avoir accès à Internet).

Vous souhaitez que votre réseau privé puisse accéder à internet, dans ce cas, vous devez créer une règle SNAT


Exemple de mise en place


Dans cet exemple, nous allons configurer : 

  • Le firewall pour autoriser tout le réseau local à sortir sur internet
  • Une règle SNAT pour que notre adresse IP publique soit utilisé pour la communication externe pour toutes les machines du réseau local 
  • Le firewall pour autoriser une communication provenant de l'externe vers une machine et un port interne sur le réseau local
  • Une règle DNAT pour que la communication externe vers interne  soit possible avec la translation 


Depuis votre interface Vcloud, rendez-vous dans la partie Mise en réseau, puis cliquer sur Dispositif Edge .

Sélectionnez votre passerelle Edge et cliquer sur CONFIGURER DES SERVICES


Vous êtes par défaut dans l'onget Pare-feu 



Sélectionnez la dernière ligne dans la liste des règle 
Cliquez sur le  pour ajouter une nouvelle règle sur le pare-feu



Vous pouvez maintenant éditer la règle pour inscrire :

ChampValeur
NomTrafic sortant (tout autorisé)
TypeUtilisateur
SourceInternal
DestinationTous
ServiceTous
ActionAccepter
Journalisationnon coché


Vous devez avoir quelque chose comme ceci : 


Pour finir, sauvegardez les modifications :


Cliquez maintenant dans l'onglet NAT pour configurer une règle SNAT 

Et cliquez sur + REGLE SNAT


Vous pouvez ensuite renseigner la configuration de la règle: 

Détail : 

ChampValeurDescription
Appliqué surFR_NCP1_185.49.23.0/24Élément publique
IP/plage source d'origine192.168.50.0/24Le réseau local couvert
IP/plage source traduite185.49.23.XVotre IP publique utilisé pour sortir sur internet. Les connexions distantes seront établies via par cette adresse IP
DescriptionSortie Local vers InternetUne description


Pour valider, cliquez sur 


Vous pouvez confirmer que la règle ajoutée correspond bien à ceci : 


Enregistrez les modifications : 


Toutes la machines de votre réseau local doivent maintenant avoir accès à Internet 


Maintenant, si vous souhaitez exposer un service de votre réseau local sur internet (publiquement) vous devez ouvrir le pare-feu et configurer une règle DNAT pour acheminer le trafic vers la bonne machine locale  sur le bon port 

Exemple, ouverture du port 3389 (RDP) vers une machine Windows

Ouverture du port sur le pare-feu : 

ChampValeurDescription
NomRDP_INUn nom pour organiser vos règles
TypeUtilisateurPar défaut
SourceTousIci vous pouvez filter sur des IP distantes spécifiques, Tous autorise n'importe quelle source à se connecter sur ce port
Destination185.49.23.XUne adresse IP publique qui portera le service exposé sur Internet. Cette IP doit faire partie de votre Vcloud
ActionAccepterOuvrir le port = Accepter les connexions

Pour finir la configuration de cette règle, sauvegardez les modifications :

Règle DNAT


La règle DNAT va permetre le trafic externe, arrivant sur le port 3389 d'être acheminé vers la machine virtuelle Windows (dans cet exemple) , sur le réseau local, vers le port local 3389


ChampValeurDescription
Appliqué surFR-NCP1_185.49.23.0Élément Publique
Original IP185.49.23.XVotre IP publique utilisée pour la publication de votre service externe, celle utilisé pour l'ouverture port
Original PORT33389Le port exposé sur le réseau publique
Traduit IPxxx.xxx.xxx.xxxL'adresse IP de votre machine sur le réseau local (192.168.50.XXX, par défaut)
Traduit PORT3389Le port sur lequel écoute le service local, 3389 représente ici l'accès disant RDP
ProtocoleTCPLe protocole utilisé par le service exposé
ActivécochéPour activer la règle
Journalisationnon-cochéPour des besoins de journalisation, laisser non activé par défaut.


Sauvegarder les modification , vous pouvez tester le bon fonctionnement du service . 



Toute la configuration est terminée. Vous devez pouvoir : 

  • vous connecter à Internet depuis une machine de votre réseau local
  • communiquer depuis l'externe (Internet) sur le port 3389 de votre IP publique et avoir une réponse du service RDP de votre machine locale écoutant sur le port 3389

Attention : 

Vous devez vous assurer que le pare-feu LOCAL à votre machine autorise bien les connexions sur le port que vous souhaitez rendre disponible (sourire)

  • Aucune étiquette