Hairpin NAT можно использовать для доступа к узлу за NAT, находясь за этим же NAT.
В данной инструкции рассмотрена настройка Hairpin NAT на Edge Gateway через интерфейс VMware Cloud Director.
Рассмотрим пример настройки доступа по внешнему IP адреса с Workstation к Web Server, где Workstation и Web Server находятся за одним NAT. Веб-трафик между Workstation и Web Server будет проходить через Edge Gateway. На схеме ниже изображены 4 этапа передачи пакетов.
Как это работает
Stage 1: Workstation отправляет пакет с своего локального адреса 192.168.255.2 на внешний адрес Edge Gateway 176.53.180.81;
Stage 2: Edge Gateway заменяет адрес источника SrcIP Workstation 192.168.255.2 на адрес Edge Gateway 192.168.2.1, а адрес назначения DstIP Web Server на адрес Web Server 192.168.255.10;
Stage 3: Web Server, получив пакет с адреса Edge Gateway 192.168.2.1, отправляет ответ на адрес Edge Gateway 192.168.2.1;
Stage 4: Edge Gateway с помощью Connection Tracker подменяет замененные на Stage 2 адреса на изначальные и отправляет ответ от Web Server на Workstation.
Настройка Firewall на Edge Gateway
Пример настройки правил Firewall на скриншоте ниже.
Для доступа к Web Server с Workstation используется правило № 3.
Для доступа к Web Server из Интернет используется правило № 4.
Настройка NAT на Edge Gateway
Пример настройки NAT на скриншоте ниже.
Правила NAT, примененные (Applied on) к Uplink интерфейсу Edge Gateway, используемые для доступа к Web Server из Интернет и доступа с Web Server и с Workstation в Интернет:
196609 – SNAT – для доступа в Интернет с машин в локальной сети;
196610 – DNAT – проброс 80/tcp порта из Интернет;
196611 – DNAT - проброс 443/tcp порта из Интернет;
Правила, примененные (Applied on) к локальному интерфейсу Edge Gateway, используемые для Hairpin NAT:
196612 – SNAT – подмена адреса Workstation на адрес Edge Gateway в локальной сети (между Stage 1 и Stage 2);
196613 – DNAT – подмена внешнего IP на адрес Web Server (между этапами 1 и 2) для http трафика (80/tcp);
196614 – DNAT – подмена внешнего IP на адрес Web Server (между этапами 1 и 2) для https трафика (443/tcp);
В графе Applied on для «Hairpin-правил» нужно указать локальный интерфейс Edge Gateway.
Проброс других портов
Вы также можете сделать Hairpin NAT для других портов/протоколов, создав дополнительные DNAT правила, аналогичные правилам для HTTP и HTTPS.
