IBM Cloud Docs
IBM Cloud Virtual Router Appliance 的技术常见问题解答

IBM Cloud Virtual Router Appliance 的技术常见问题解答

这些常见问题涉及 IBM Cloud® Virtual Router Appliance (VRA) 的配置,以及涉及从 Vyatta 5400 迁移到 VRA 的问题。

如何允许从专用 VLAN 上的主机发往因特网的流量?

此流量必须获取公共源 IP; 因此,源 NAT 必须使用 VRA 的公共 IP 来伪装专用 IP。

set service nat source rule 1000 description 'SNAT traffic from private VLANs to Internet'
set service nat source rule 1000 outbound-interface 'dp0bond1'
set service nat source rule 1000 source address '10.0.0.0/8'
set service nat source rule 1000 translation address masquerade

此配置仅执行来自专用 10.0.0.0/8 网络中服务器的流量的 SNAT。

这可确保它不会干扰已具有可因特网路由的源地址的包。

如何过滤因特网绑定的流量,并且仅允许特定协议和目标?

当必须将源 NAT 和防火墙组合在一起时,这是一个常见问题。

请记住设计规则集的 VRA 中的操作顺序。

简而言之,防火墙规则在 SNAT 之后应用。

要阻止防火墙中的所有传出流量,但允许特定的 SNAT 流,必须将过滤逻辑移至 SNAT 上。 例如,要仅允许主机的 HTTPS 因特网绑定流量, SNAT 规则将为:

set service nat source rule 10 description 'SNAT https traffic from server 10.1.2.3 to Internet'
set service nat source rule 10 destination port 443
set service nat source rule 10 outbound-interface 'dp0bond1'
set service nat source rule 10 protocol 'tcp'
set service nat source rule 10 source address '10.1.2.3'
set service nat source rule 10 translation address '150.1.2.3'

150.1.2.3 是 VRA 的公共地址。

建议使用 VRA 的 VRRP 公共地址,以便您可以区分主机和 VRA 公共流量。

假定 150.1.2.3 是 VRRP VRA 地址,150.1.2.5 是真实的 dp0bond1 地址。 应用于 dp0bond1 out 的有状态防火墙将为:

set security firewall name TO_INTERNET default-action drop
set security firewall name TO_INTERNET rule 10 action `accept`
set security firewall name TO_INTERNET rule 10 description 'Accept host traffic to Internet - SNAT to VRRP'
set security firewall name TO_INTERNET rule 10 source address '150.1.2.3'
set security firewall name TO_INTERNET rule 10 state 'enable'
set security firewall name TO_INTERNET rule 20 action `accept`
set security firewall name TO_INTERNET rule 20 description 'Accept VRA traffic to Internet'
set security firewall name TO_INTERNET rule 20 source address '150.1.2.5'
set security firewall name TO_INTERNET rule 20 state 'enable'

源 NAT 和防火墙的组合实现了所需的设计目标。

确保这些规则适合于您的设计,并且没有其他规则允许应该阻塞的流量。

如何使用基于区域的防火墙来保护 VRA 自身?

VRA 没有local zone。 您可以改为使用控制平面监管 (CPP) 功能,因为它将作为回送上的 local 防火墙应用。

这是无状态防火墙,您必须显式允许返回源自 VRA 本身的出站会话流量。

如何限制 SSH 和阻止来自因特网的连接?

公认的最佳做法是不允许来自因特网的 SSH 连接,而使用其他访问专用地址的方法(如 SSL VPN)。

缺省情况下,VRA 在所有接口上都接受 SSH。 要仅侦听专用接口上的 SSH 连接,必须设置以下配置:

set service ssh listen-address '10.1.2.3'

请记住,必须将 IP 地址替换为属于 VRA 的地址。