Configuración de NAT para el acceso a Internet desde una red privada
En esta guía de aprendizaje se describe el uso de la Infraestructura clásica. La mayoría de las cargas de trabajo se pueden implementar utilizando recursos de IBM Cloud® Virtual Private Cloud. Utilice IBM Cloud VPC para crear su propio entorno de cálculo similar al de una nube privada en una infraestructura de nube pública compartida. Una VPC proporciona a una empresa la posibilidad de definir y controlar una red virtual que está aislada lógicamente de todos los demás arrendatarios de nube pública, creando un lugar privado y seguro en la nube pública. Específicamente, instancias de servidor virtual, grupos de seguridad, ACL de red y pasarelas públicas.
Esta guía de aprendizaje puede incurrir en costes. Utilice Estimador de costes para generar una estimación del coste basada en el uso previsto.
En el mundo actual de aplicaciones y servicios de TI basados en la web, pocas aplicaciones existen de forma aislada. Los desarrolladores deben tener en cuenta el acceso a servicios en Internet, ya sea código de aplicación de código abierto y actualizaciones o servicios de 'terceros' que proporcionan funcionalidad de aplicación a través de API REST. El uso de máscaras de conversión de direcciones de red (NAT) es un método común para proteger el acceso a servicios alojados en Internet desde redes privadas. Con máscaras de NAT, las direcciones IP privadas se convierten en la dirección IP de la interfaz pública de salida en una relación entre muchos y uno, protegiendo la dirección IP privada de la vista pública.
En esta guía de aprendizaje se explica la configuración de la máscara de Network Address Translation (NAT) en un Virtual Router Appliance (VRA) para conectar con una subred protegida en la red privada de IBM Cloud. Se basa en la guía de aprendizaje Aislamiento de cargas de trabajo con una red privada segura e incorpora la configuración Source NAT (SNAT), en la que las direcciones de origen se ocultan y se utilizan reglas de cortafuegos para proteger el tráfico de salida. Encontrará configuraciones de NAT más complejas en la documentación complementaria de VRA.
Objetivos
- Configurar la conversión de direcciones de red de origen (SNAT) en un dispositivo de direccionador virtual (VRA)
- Configurar reglas de cortafuegos para el acceso a Internet

- Documentar los servicios de Internet necesarios.
- Configurar NAT.
- Crear reglas y una zona de cortafuegos de Internet.
Antes de empezar
En esta guía de aprendizaje se permite que los hosts del alojamiento de red privada segura creados en la guía de aprendizaje Aislamiento de cargas de trabajo con una red privada segura accedan a los servicios públicos de Internet. Esta guía de aprendizaje debe completarse en primer lugar.
Documentación de los servicios de Internet
El primer paso consiste en identificar los servicios a los que se accederá en Internet pública y documentar los puertos que deben estar habilitados para el tráfico de entrada y de salida correspondiente de Internet. Esta lista de puertos se necesitará para las reglas de cortafuegos en un paso posterior.
En este ejemplo solo se habilitan los puertos http y https, ya que estos cubren la mayoría de los requisitos. Los servicios DNS y NTP se proporcionan desde la red privada de IBM Cloud. Si se requieren estos y otros servicios, como SMTP (Puerto 25) o MySQL (Puerto 3306), se necesitarán reglas de cortafuegos adicionales. Las dos reglas de puerto básicas son:
- Puerto 80 (http)
- Puerto 443 (https)
Verifique si el servicio de terceros admite la definición de una lista de direcciones de origen permitidas. Si es así, la dirección IP pública del VRA deberá configurar el servicio de terceros para limitar el acceso al servicio.
Máscaras de NAT en Internet
Siga estas instrucciones para configurar el acceso a Internet externo para los hosts de la zona APP mediante el uso de máscaras de NAT.
-
Ejecute SSH en VRA y entre en la modalidad [edit] (config).
SSH vyatta@<VRA Private IP Address> configure
-
Cree las reglas SNAT en el VRA, especificando la misma
/ que se determinó para la subred/VLAN de la zona APP en el tutorial anterior de aprovisionamiento del VRA. set service nat source rule 1000 description 'pass traffic to the Internet' set service nat source rule 1000 outbound-interface 'dp0bond1' set service nat source rule 1000 source address <Subnet Gateway IP>/<CIDR> set service nat source rule 1000 translation address masquerade commit
Creación de cortafuegos
-
Crear reglas de cortafuegos para APP-TO-OUTSIDE
set security firewall name APP-TO-OUTSIDE default-action drop set security firewall name APP-TO-OUTSIDE description 'APP traffic to the Internet' set security firewall name APP-TO-OUTSIDE default-log set security firewall name APP-TO-OUTSIDE rule 90 protocol tcp set security firewall name APP-TO-OUTSIDE rule 90 action accept set security firewall name APP-TO-OUTSIDE rule 90 destination port 80 set security firewall name APP-TO-OUTSIDE rule 100 protocol tcp set security firewall name APP-TO-OUTSIDE rule 100 action accept set security firewall name APP-TO-OUTSIDE rule 100 destination port 443 set security firewall name APP-TO-OUTSIDE rule 200 protocol icmp set security firewall name APP-TO-OUTSIDE rule 200 icmp type 8 set security firewall name APP-TO-OUTSIDE rule 200 action accept commit
-
Crear reglas de cortafuegos OUTSIDE-TO-APP
set security firewall name OUTSIDE-TO-APP default-action drop set security firewall name OUTSIDE-TO-APP description 'Internet traffic to APP' set security firewall name OUTSIDE-TO-APP default-log set security firewall name OUTSIDE-TO-APP rule 100 protocol tcp set security firewall name OUTSIDE-TO-APP rule 100 action accept set security firewall name OUTSIDE-TO-APP rule 100 destination port 443 set security firewall name OUTSIDE-TO-APP rule 90 protocol tcp set security firewall name OUTSIDE-TO-APP rule 90 action accept set security firewall name OUTSIDE-TO-APP rule 90 destination port 80 set security firewall name OUTSIDE-TO-APP rule 200 protocol icmp set security firewall name OUTSIDE-TO-APP rule 200 icmp type 8 set security firewall name OUTSIDE-TO-APP rule 200 action accept commit
Creación de zona y aplicación de reglas
-
Cree la zona OUTSIDE para controlar el acceso a Internet externo.
set security zone-policy zone OUTSIDE default-action drop set security zone-policy zone OUTSIDE interface dp0bond1 set security zone-policy zone OUTSIDE description 'External Internet'
-
Asigne cortafuegos para controlar el tráfico de entrada y de salida de Internet.
set security zone-policy zone APP to OUTSIDE firewall APP-TO-OUTSIDE set security zone-policy zone OUTSIDE to APP firewall OUTSIDE-TO-APP commit
-
Compruebe que la VSI de la zona APP ahora puede acceder a los servicios de Internet. Inicie sesión en el VSI local mediante SSH:
ssh root@<VSI Private IP>
Utilice ping y curl para validar el acceso icmp y tcp a los sitios de Internet:
ping 8.8.8.8 curl www.google.com
Eliminación de recursos
Pasos que se deben seguir para eliminar los recursos que se crean en esta guía de aprendizaje.
El VRA está en el plan de pago mensual. La cancelación no da derecho a un reembolso. Se recomienda cancelar solo si este VRA no se volverá a necesitar durante el mes siguiente. Si se necesita un clúster de alta disponibilidad VRA dual, este VRA se puede actualizar en la página Detalles de pasarela.
- Cancele todos los servidores virtuales o servidores locales
- Cancele el VRA
- Cancelar las VLAN