Regola NAT one-to-many (mascheramento)

Immetti i seguenti comandi:

set nat source rule 1000 description 'pass traffic to the internet'
set nat source rule 1000 outbound-interface 'bond1'
set nat source rule 1000 protocol 'tcp_udp'
set nat source rule 1000 source address '10.125.49.128/26'
set nat source rule 1000 translation address 'masquerade'
commit

La richiesta di connessione dalle macchine nella rete 10.xxx.xxx.xxx sono mappate all'IP su bond1 e ricevono una porta effimera associata quando si passa in uscita. L'intenzione è quella di assegnare numeri di regola mascherati da uno a molti in modo che non siano in conflitto con regole NAT più basse che si potrebbero avere.

Devi configurare il server per passare il suo traffico internet tramite la VRA in modo che il suo gateway predefinito sia l'indirizzo IP privato della LAN virtuale gestita (VLAN). Ad esempio, per bond0.2254 il gateway è 10.52.69.201. Questo dovrebbe essere l'indirizzo del gateway per il server che sta passando il traffico internet.

Utilizza il seguente comando per aiutarti nella risoluzione dei problemi NAT:

run show nat source translations detail

Regola NAT uno-a-uno

I seguenti comandi mostrano come impostare una regola NAT one-to-one. Si noti che i numeri delle regole sono impostati per essere inferiori alla regola mascherata. Questo è così che le regole one-to-one hanno la precedenza sulle regole da uno a tante.

Gli indirizzi IP associati uno-a-uno non possono essere mascherati. Se si traduce un inbound IP, è necessario tradurre l'IP in uscita per il traffico per andare in entrambi i modi.

I seguenti comandi sono per una regola di origine e di destinazione. Immetti show nat nella modalità di configurazione per visualizzare il tipo di regola NAT.

Utilizza il seguente comando per aiutarti nella risoluzione dei problemi NAT: run show nat source translations detail.

Inserire i seguenti comandi dopo aver assicurato che si è in modalità di configurazione:

set nat source rule 9 outbound-interface 'bond1'
set nat source rule 9 protocol 'all'
set nat source rule 9 source address '10.52.69.202'
set nat source rule 9 translation address '50.97.203.227'
set nat destination rule 9 destination address '50.97.203.227'
set nat destination rule 9 inbound-interface 'bond1'
set nat destination rule 9 protocol 'all'
set nat destination rule 9 translation address '10.52.69.202'
commit

Se il traffico arriva su IP 50.97.203.227 su bond1, tale IP viene mappato su IP 10.52.69.202 su qualsiasi interfaccia definita. Se il traffico va in uscita con l'IP di 10.52.69.202 (su qualsiasi interfaccia definita), viene tradotto in IP 50.97.203.227 e procedere in uscita sull'interfaccia bond1.

Gli indirizzi IP associati uno-a-uno non possono essere mascherati. Se si traduce un inbound IP, è necessario tradurre quello stesso IP in uscita per il suo traffico per andare in entrambi i modi.

Aggiunta di intervalli di IP tramite la tua VRA

A seconda della configurazione VRA, potrebbe essere necessario accettare indirizzi IP IBM Cloud specifici.

Le nuove distribuzioni vRouter arrivano con gli indirizzi IP di rete dei servizi IBM Cloud definiti in una regola firewall denominata SERVICE-ALLOW.

Il seguente è un esempio di SERVICE-ALLOW. Questa non è una serie di regole di IP privati completa.

set firewall name SERVICE-ALLOW rule 1 action 'accept'
set firewall name SERVICE-ALLOW rule 1 destination address '10.0.64.0/19'
set firewall name SERVICE-ALLOW rule 2 action 'accept'
set firewall name SERVICE-ALLOW rule 2 destination address '10.1.128.0/19'
set firewall name SERVICE-ALLOW rule 3 action 'accept'
set firewall name SERVICE-ALLOW rule 3 destination address '10.0.86.0/24'

Dopo aver definito le regole del firewall, è possibile assegnarle come si vede fit. Sono elencati due esempi.

Applicazione a una zona: set zone-policy zone private from dmz firewall name SERVICE-ALLOW

Applicazione a un'interfaccia di bonding set interfaces bonding bond0 firewall local name SERVICE-ALLOW