Виртуальный роутер. Как настроить правила NAT?

NAT (Network Address Translation) — это технология, которая преобразует приватные IP-адреса во внешние и наоборот. NAT обеспечивает виртуальным серверам с серыми IP-адресами доступ в интернет и скрывает сетевую топологию от внешних пользователей. Благодаря этому сеть получает дополнительный уровень защищенности от несанкционированного доступа.

В облачных сервисах протокол NAT используется в связке с маршрутизатором. Например, виртуальный роутер можно настроить как брандмауэр, позволив только авторизованным системам получать доступ к серверам в приватной сети.

Создание правил

Для начала необходимо создать приватную сеть в панели управления и подключить к ней виртуальные серверы. В сеть можно объединить только серверы из одного центра обработки данных.

Чтобы начать маршрутизировать трафик, создайте виртуальный роутер. Для этого выполните следующие шаги:

1. Авторизуйтесь в личном кабинете.
2. В левом меню выберите «Облачные решения» (1).
3. Выберите нужную услугу и нажмите «Управление» (2).

4. Перейдите во вкладку «Сети».

5. Затем откройте раздел «Маршрутизатор» и кликните на «Управление».

6. Во вкладке «Nat» нажмите на «Добавить правило».

7. В открывшемся окне выберите тип правил (DNAT или SNAT) и заполните необходимые поля.

SNAT

SNAT (Source Network Address Translation) изменяет исходный IP-адрес сетевого пакета с данными на другой IP-адрес.

Сценарий использования: маскировка и сокрытие локальных (частных) IP-адресов устройств для повышения конфиденциальности и безопасности.

При создании правила необходимо выбрать тип SNAT и заполнить следующие поля:

• Описание — удобное для пользователя название.
• Внутренняя сеть — локальный (приватный) адрес сервера, который будет преобразован.
• Внешний IP — выберите из выпадающего списка IP-адрес выхода в Интернет, на этот адрес в маршрутизатор поступает трафик из глобальной сети (см. вкладка Подсети → таблица Публичные адреса → поле IP-адрес).
• Описание — введите текст описания правила (кратко).
  

По завершении нажмите «Сохранить».

DNAT

DNAT (Destination Network Address Translation) используется для преобразования целевого IP-адреса сетевого пакета в другой IP-адрес.

Сценарий использования: перенаправление входящих пакетов с внешнего адреса/порта на приватный IP-адрес/порт внутри частной сети.

Выберите тип DNAT и заполните следующие поля:

• Внешний IP-адрес – выберите из выпадающего списка внешний адрес маршрутизатора в сети (адрес выхода в Интернет – см. вкладка Подсети → таблица Публичные адреса → поле IP-адрес). 
• Внешний порт – введите порт подключения к Интернету. 
• Целевой адрес – введите IP-адрес сервера, к которому выполняется подключение. Можно вводить несколько адресов через запятую или через дефис (диапазон адресов) – в этом случае входящие запросы будут распределяться между этим адресами. Для балансировки нагрузки используется механизм Round Robin: первый запрос поступает на один адрес, следующий – на другой и так до последнего, затем все начинается сначала. 
• Целевой порт – введите порт сервера, к которому выполняется подключение; 
• Протокол передачи данных – выберите из выпадающего списка протокол транспортного уровня: TCP или UDP. 
• Описание – введите текст описания правила (кратко).

По завершении нажмите «Сохранить».