Работа с виртуальным маршрутизатором в панели управления сервером

Друзья, сегодня говорим о создании частной сети в панели управления сервером, правилах перенаправления и назначении портов. Тема масштабная, но интересная. Так что не будем терять ни минуты.

И начнем с создания частной сети.

1. Войдите в панель управления Apache CloudStack под своими реквизитами и откройте Network.

2. Добавьте новую сеть, нажав Add Isolated Network. Заполните все поля и нажмите OK.

Сеть создана, она теперь отображается в списке сетей.

3. Перейдите в Instances, выберите виртуальную машину и откройте NICS.

4. Нажмите Add Network to VM, а потом OK.

Теперь поговорим о нашем виртуальном маршрутизаторе.

1. Войдите в Сети.

2. Выберите свою сеть.

В этом меню нас интересуют два момента.

Во-первых, вкладка Egress rules. Она отвечает за все исходящие соединения. Чтобы исходящие пакеты уходили на все возможные узлы и порты, вид правил должен быть следующим.

Второй момент - это внешние IP-адреса, доступные при нажатии на Вид IP-адреса. Именно тут в Настройках и можно изменить все входящие правила и перенаправления.

Важно! И для правил входящих портов, и для перенаправлений есть одно жесткое ограничение - каждый порт может быть инициализирован в списке только раз для определенной сети (сеть 0.0.0.0/0 автоматически включает все сети). При этом не имеет значения, где именно порт указан - в отдельном правиле или в правиле для группы, в которую он входит.
Получается, инициализация правила разрешения соединения для портов от 1 до 65535 автоматически аннулирует возможность добавить еще какое-то правило для определенного порта. В нашем примере мы пошли от обратного - разрешили подключения только к тем портам, к которым нам нужен тот или иной вид доступа.

Правила брандмауэра имеют следующий вид

А вот правила для перенаправления

В нашем случае используются единичные перенаправления (то есть один внешний порт виртуального роутера соответствует одному внутреннем порту того или иного сервера в пределах частной сети).

По умолчанию для виртуального роутера ситуация будет следующей.

Это значит, к серверам за виртуальным роутером можно подключиться по любому TCP/UDP-порту, если будет кому принимать эти запросы.
Правила перенаправления портов по умолчанию тоже сконфигурированы достаточно просто.

Все соединения по основному IP-адресу сервера будут автоматически перенаправлены на ваш сервер с внутренним адресом, который вы ранее задали.
Чтобы ограничить, например, доступ по порту 3389 (RDP), нужно:

1. Удалить оба текущих правила для портов 1-65535 (нажать крестик рядом с правилом).
2. Добавить правила для TCP и UDP со следующим промежутком - 1-3388.

3. Добавить правила для промежутка после 3389 порта, то есть - 3390-65535.

Теперь нужно настроить перенаправление портов:

1. Повторно удалить оба правила для всех сетей.
2. Создать правило для перенаправления портов с 1 по 3388.

3. Создать правило для перенаправления с 3390 по 14969 (предыдущий порт).

4. Создать правило для оставшейся группы портов.

5. И наконец создать само правило перенаправления RDP-порта.

А можно ли обойтись малой кровью?

Естественно. :) Создайте в Firewall только одно правило для каждого из протоколов непосредственно для того порта, который необходим. Тем самым вы ограничите любое взаимодействие по другим портам. Вот так.

И сразу после этого можете сразу же шагать к пункту 5 вышеуказанной инструкции.

Вот видите, все не так сложно. А с нашими разъяснениями, уверены, будет еще проще. Остались вопросы - обращайтесь 24/7. Всегда вам рады!