IBM Cloud Docs
Configuration d'une conversion NAT pour l'accès Internet à partir d'un réseau privé

Configuration d'une conversion NAT pour l'accès Internet à partir d'un réseau privé

Ce tutoriel décrit l'utilisation de l'infrastructure classique. La plupart des charges de travail peuvent être implémentées à l'aide des ressources IBM Cloud® Virtual Private Cloud. Utilisez IBM Cloud VPC pour créer votre propre environnement de calcul de type cloud privé sur une infrastructure de cloud public partagé. Un VPC permet à une entreprise de définir et de contrôler un réseau virtuel qui est logiquement isolé de tous les autres locataires de cloud public, créant ainsi un endroit privé et sécurisé sur le cloud public. Plus précisément, les instances de serveur virtuel, groupes de sécurité, listes de contrôle d'accès réseau et passerelles publiques.

Ce tutoriel peut entraîner des coûts. Utilisez l'Estimateur de coûts pour générer une estimation du coût en fonction de votre utilisation projetée.

Dans le monde actuel des applications et des services informatiques basés sur le Web, peu d'applications existent isolément. Les développeurs exigent désormais l'accès aux services sur Internet, qu'il s'agisse de code applicatif open source et de mises à jour, ou de services tiers fournissant des fonctionnalités d'application via des API REST. Le masquage NAT est une approche couramment utilisée pour sécuriser l'accès au service hébergé sur Internet à partir de réseaux privés. Dans le masquage NAT, les adresses IP privées sont converties en adresse IP de l'interface publique sortante dans une relation plusieurs-à-un, empêchant ainsi l'adresse IP privée d'être visible par le public.

Ce tutoriel présente la configuration du masquage de conversion d'adresses réseau (NAT) sur un dispositif VRA (Virtual Router Appliance) pour se connecter à un sous-réseau sécurisé sur le réseau privé IBM Cloud. Il s'appuie sur le tutoriel Isolation de charges de travail à l'aide d'un réseau privé sécurisé, et ajoute une configuration SNAT (Source NAT), où l'adresse source est masquée et où les règles de pare-feu sont utilisées pour sécuriser le trafic sortant. Vous trouverez des configurations NAT plus complexes dans la documentation VRA supplémentaire.

Objectifs

  • Configurer la conversion SNAT sur un dispositif Virtual Router Appliance (VRA)
  • Configurer les règles de pare-feu pour l'accès Internet

d'architecture du

  1. Documenter les services Internet requis.
  2. Configurer la conversion NAT.
  3. Créer une zone et des règles de pare-feu Internet.

Avant de commencer

Ce tutoriel active les hôtes de l'enceinte du réseau privé sécurisé créés pendant le tutoriel Isolation de charges de travail à l'aide d'un réseau privé sécurisé pour accéder aux services Internet publics. Ce tutoriel doit être effectué en premier lieu.

Documentation des services Internet

La première étape consiste à identifier les services accessibles sur l'Internet public et à documenter les ports qui doivent être activés pour le trafic sortant et le trafic entrant correspondants provenant d'Internet. Cette liste de ports est requise pour les règles de pare-feu dans une étape ultérieure.

Dans cet exemple, seuls les ports http et https sont activés, car ils couvrent la majorité des exigences. Les services DNS et NTP sont fournis à partir du réseau privé IBM Cloud. Si ces services et d'autres tels que SMTP (port 25) ou MySQL (port 3306) sont requis, des règles de pare-feu supplémentaires sont nécessaires. Les deux règles de port de base sont les suivantes :

  • Port 80 (http)
  • Port 443 (https)

Vérifiez si le service tiers prend en charge la définition d'une liste d'adresses source autorisées. Dans l'affirmative, l'adresse IP publique du dispositif VRA est nécessaire pour configurer le service tiers afin de limiter l'accès au service.

Masquage NAT vers Internet

Effectuez les instructions ci-dessous pour configurer l'accès Internet externe pour les hôtes de la zone APP à l'aide du masquage NAT.

  1. Connectez-vous à l'aide de SSH au dispositif VRA et passez en mode [edit] (config).

    SSH vyatta@<VRA Private IP Address>
configure

  2. Créez les règles SNAT sur le VRA, en spécifiant les mêmes / que ceux déterminés pour le sous-réseau/VLAN de la zone APP dans le précédent tutoriel sur le provisionnement du VRA. 

    set service nat source rule 1000 description 'pass traffic to the Internet'
set service nat source rule 1000 outbound-interface 'dp0bond1'
set service nat source rule 1000 source address <Subnet Gateway IP>/<CIDR>
set service nat source rule 1000 translation address masquerade
commit

Création de pare-feux

  1. Créez des règles de pare-feu pour APP-TO-OUTSIDE

    set security firewall name APP-TO-OUTSIDE default-action drop
set security firewall name APP-TO-OUTSIDE description 'APP traffic to the Internet'
set security firewall name APP-TO-OUTSIDE default-log

set security firewall name APP-TO-OUTSIDE rule 90 protocol tcp
set security firewall name APP-TO-OUTSIDE rule 90 action accept
set security firewall name APP-TO-OUTSIDE rule 90 destination port 80

set security firewall name APP-TO-OUTSIDE rule 100 protocol tcp
set security firewall name APP-TO-OUTSIDE rule 100 action accept
set security firewall name APP-TO-OUTSIDE rule 100 destination port 443

set security firewall name APP-TO-OUTSIDE rule 200 protocol icmp
set security firewall name APP-TO-OUTSIDE rule 200 icmp type 8
set security firewall name APP-TO-OUTSIDE rule 200 action accept
commit

  2. Créez des règles de pare-feu pour OUTSIDE-TO-APP

    set security firewall name OUTSIDE-TO-APP default-action drop
set security firewall name OUTSIDE-TO-APP description 'Internet traffic to APP'
set security firewall name OUTSIDE-TO-APP default-log

set security firewall name OUTSIDE-TO-APP rule 100 protocol tcp
set security firewall name OUTSIDE-TO-APP rule 100 action accept
set security firewall name OUTSIDE-TO-APP rule 100 destination port 443

set security firewall name OUTSIDE-TO-APP rule 90 protocol tcp
set security firewall name OUTSIDE-TO-APP rule 90 action accept
set security firewall name OUTSIDE-TO-APP rule 90 destination port 80

set security firewall name OUTSIDE-TO-APP rule 200 protocol icmp
set security firewall name OUTSIDE-TO-APP rule 200 icmp type 8
set security firewall name OUTSIDE-TO-APP rule 200 action accept
commit

Création d'une zone et application de règles

  1. Créez une zone OUTSIDE pour contrôler l'accès à Internet externe.

    set security zone-policy zone OUTSIDE default-action drop
set security zone-policy zone OUTSIDE interface dp0bond1
set security zone-policy zone OUTSIDE description 'External Internet'

  2. Attribuez des pare-feux pour contrôler le trafic depuis et vers Internet.

    set security zone-policy zone APP to OUTSIDE firewall APP-TO-OUTSIDE
set security zone-policy zone OUTSIDE to APP firewall OUTSIDE-TO-APP
commit

  3. Vérifiez que l'instance VSI dans la zone APP peut maintenant accéder aux services sur Internet. Connectez-vous à l'instance de serveur virtuel locale à l'aide de SSH :

    ssh root@<VSI Private IP>

    Utilisez les commandes ping et curl pour valider l'accès icmp et tcp aux sites Internet :

    ping 8.8.8.8
curl www.google.com

Suppression de ressources

Etapes à suivre pour supprimer les ressources créées dans ce tutoriel.

Le VRA est disponible moyennant un forfait mensuel. L'annulation ne donne pas lieu à un remboursement. Il est suggéré d'annuler uniquement si ce VRA n'est plus nécessaire le mois suivant. Si un cluster à haute disponibilité VRA double est requis, ce VRA unique peut être mis à niveau sur la page Détails de la passerelle.

  1. Annulez tous les serveurs virtuels ou les serveurs bare metal
  2. Annulez le VRA
  3. Annulez les VLAN

Contenu connexe