Документация

Примеры настройки сетевого маршрутизатора

Разрешение трафика от VPN-шлюза к подсетям

Задача: разрешить прохождение любого трафика от VPN-шлюза к подсетям А и Б.

Решение задачи:

  1. Добавьте сетевой маршрутизатор.
  2. Подключите к маршрутизатору сети, в которые входят подсети А и Б.
  3. При необходимости создайте VPN-шлюз.
  4. Создайте адресную группу для VPN-шлюза. В качестве CIDR 1 укажите публичный IP-адрес VPN-шлюза.

  5. Создайте адресную группу для подсетей А и Б. В качестве CIDR 1 и CIDR 2 укажите подсети А и Б.

  6. Добавьте правило для маршрутизатора, разрешающее прохождение трафика от VPN-шлюза к подсетям А и Б:
    • Тип источника Адресная группа для VPN-шлюза;
    • Тип назначения Адресная группа для подсетей А и Б;
    • Сервисная группа Все порты и протоколы.

Как это работает:

  1. В поступившем пакете маршрутизатор проверяет адрес отправителя (источник), адрес получателя (назначение), порт и протокол.
  2. Если правило разрешает прохождение пакета с такими параметрами, то пакет будет доставлен серверам в подсетях А и Б.
  3. Если параметры пакета не соответствуют правилу, пакет не будет доставлен.

Результат: у удалённой сети есть доступ к подсетям А и Б по внутренним IP-адресам. При этом, согласно технологии stateful firewall , серверы из подсетей А и Б могут отвечать на запросы из удалённой сети, но не могут инициировать новые запросы (если нет разрешающего правила).

Доступ к серверам по публичным IP-адресам

Задача: предоставить администратору доступ к серверам Server-A и Server-B по их публичным IP-адресам (по команде ssh).

Важно

Если к серверу подключен публичный IP-адрес, к серверу можно подключиться по команде ssh. Но если к сетевому маршрутизатору подключена сеть, в которой находится сервер, то доступ к этому серверу по публичному IP-адресу пропадёт. Открыть доступ можно с помощью правил сетевого маршрутизатора.

Решение задачи

  1. Добавьте сетевой маршрутизатор.
  2. Подключите к маршрутизатору сети, в которых находятся серверы Server-A и Server-B.
  3. Создайте адресную группу. В качестве CIDR 1 и CIDR 2 укажите публичные IP-адреса серверов Server-A и Server-B c префиксом /32.

  4. Создайте сервисную группу, разрешающую прохождение пакетов по протоколу TCP и порту 22.

  5. Добавьте правило для маршрутизатора, разрешающее подключение администратора к серверам Server-A и Server-B по ssh:
    • Тип источника  Любой;
    • Тип назначения  Адресная группа, созданная в шаге 3;
    • Сервисная группа Сервисная группа, созданная в шаге 4.

Как это работает:

  1. В поступившем пакете маршрутизатор проверяет адрес отправителя (источник), адрес получателя (назначение), порт и протокол.
  2. Если правило разрешает прохождение пакета с такими параметрами, то пакет будет доставлен серверам Server-A и Server-B.
  3. Если параметры пакета не соответствуют правилу, пакет не будет доставлен.

Результат: администратор с любого публичного IP-адреса может подключиться к серверам Server-A и Server-B по ssh.

Повышение приоритета правила

Задача: повысить приоритет разрешающего правила над запрещающим.

Решение задачи:

  1. Добавьте сетевой маршрутизатор.
  2. Подключите к маршрутизатору сети, в которых находятся серверы Server-A и Server-B.
  3. Создайте адресную группу. В качестве CIDR 1 и CIDR 2 укажите публичные IP-адреса серверов Server-A и Server-B c префиксом /32

  4. Создайте сервисную группу, разрешающую прохождение пакетов по протоколу ICMP и любому порту.

  5. Добавьте правило для маршрутизатора, разрешающее команду ping к серверам Server-A и Server-B:
    • Тип источника  Любой;
    • Тип назначения  Адресная группа, созданная в шаге 3;
    • Сервисная группа Сервисная группа, созданная в шаге 4.

      Правило не будет работать, т.к. в списке правил сетевого маршрутизатора есть правило, запрещающее любой трафик. У него более высокий приоритет, т.к. оно расположено выше разрешающего:
  6. Повысьте приоритет разрешающего правила над запрещающим.

Как это работает:

  1. В поступившем пакете маршрутизатор проверяет адрес отправителя (источник), адрес получателя (назначение), порт и протокол.
  2. Если правило разрешает прохождение пакета с такими параметрами, то пакет будет доставлен серверам Server-A и Server-B.
  3. Если параметры пакета не соответствуют правилу, пакет не будет доставлен.

Результат: с любого публичного IP-адреса доступен ping к серверам Server-A и Server-B по их публичным IP-адресам.

В этой статье

Мы ответили на ваш вопрос?