NAT

Os serviços de NAT (Network Address Translation) permitem gerenciar a visibilidade e o acesso à sua rede privada de nuvem. O NAT permite traduzir endereços IP privados em endereços IP públicos, possibilitando que recursos internos sejam acessíveis do mundo externo.

Geral

As principais opções de NAT são:

  • SNAT: Traduz endereços IP privados de VMs em um endereço IP público do Edge Gateway, permitindo que VMs iniciem conexões com recursos externos na internet;

  • DNAT: Traduz endereços IP públicos para endereços IP privados específicos de VMs, permitindo que recursos externos iniciem conexões com VMs na rede privada da nuvem;

  • REFLEXIVE: Garante que o tráfego de retorno possa fluir livremente entre VMs e servidores externos, mesmo que o endereço IP seja traduzido por diferentes NATs.

Selecionada

Nesta tela podemos criar uma nova regra de nat bastando clicar em NEW ou se selecionarmos uma das regras já existentes podemos editá-la com EDIT ou apagá-la com DELETE.

Nova

Ao clicar em NEW uma janela é aberta onde pode-se configurar a nova regra. Como sugestão de nome, pode-se usar o serviço-so-tipo_nat-porta. Na descrição pode se falar o porque da regra existir.

Tipos NAT

Cada tipo de NAT tem o seus campos que são obrigatórios e os que são opcionais:

  • EXTERNAL IP: Representa o endereço IP público do Edge Gateway que será usado para mascarar o endereço IP privado da VM no tráfego de saída. É o endereço IP que será visto por dispositivos externos na internet quando uma VM na rede privada se comunica com eles;

  • Internal IP: Representa o endereço IP privado da VM na rede interna do VDC que terá seu endereço traduzido pelo NAT. Identifica a VM específica dentro da rede privada do VDC que está enviando o tráfego de saída;

  • Destination IP: Representa o endereço IP do destino final do tráfego de saída, que pode ser um servidor externo, outro dispositivo na internet ou uma VM em outra rede. Não é utilizado diretamente pelo NAT, mas sim pelo roteamento de rede para direcionar o tráfego para o destino correto.

SNAT

Cenários de Uso: Ideal para permitir que VMs acessem serviços online, como websites, repositórios de software e atualizações.

SNAT

Tem como único campo obrigatório é de EXTERNAL IP.

DNAT

Cenários de Uso: Útil para hospedar servidores web, serviços FTP ou outros recursos que precisam ser acessados ​​externamente, mas que residem em uma rede privada com endereços IP não roteáveis.

DNAT

Tem como campos obrigatórios EXTERNAL IP e INTERNAL IP.

Importante

No DNAT para evitar fazer o port forward para todas as portas é importante selecionar uma porta externa e uma aplicação para a porta interna do NAT

REFLEXIVE

Cenários de Uso:

  • Redes com vários firewalls e NATs: Em ambientes com vários firewalls e NATs, o REFLEXIVE garante que o tráfego de retorno possa fluir livremente entre VMs e servidores externos, mesmo que o endereço IP seja traduzido por diferentes NATs.

  • Implementações de alta disponibilidade: O REFLEXIVE pode ser crucial em implementações de alta disponibilidade para garantir que o tráfego de retorno possa fluir para VMs de failover em caso de falha de um servidor principal.

REFLEXIVE

Precisa apenas dos campos EXTERNAL IP e INTERNAL IP.

Nota

É importante testar o REFLEXIVE cuidadosamente em seu ambiente antes de implementá-lo em produção.

Nota

O REFLEXIVE funciona da seguinte maneira:

Uma VM na rede privada envia uma solicitação para um servidor externo.
O Edge Gateway traduz o endereço IP privado da VM para um endereço IP público antes de enviar a solicitação para o servidor externo.
O servidor externo responde à solicitação usando o endereço IP público do Edge Gateway.
O Edge Gateway detecta que o endereço IP de retorno é diferente do endereço IP original enviado pela VM.
O Edge Gateway traduz o endereço IP de retorno para o endereço IP privado da VM antes de enviar a resposta à VM.

Ordem das regras

Agora é necessário clicar em Advanced Settings para configurar um valor no campo Priority, que apesar de não ser obrigatório e ficar escondido é de extrema importância para gerenciar a ordem das regras de NAT.

Aviso

Enquanto no Firewall a ordem é explicita de cima para baixo no NAT todas as regras por padrão tem a mesma prioridade, com isso não se tem uma ordem que elas são aplicadas. Por isso é fortemente recomendando configurar a prioridade na criação da regra.

Quando é aplicado a prioridade a ordem das regras na interface se altera para refletir as prioridades.

Priority

Quanto menor o valor do campo Priority, maior é a prioridade da regra, ou seja é executada antes das outras.

Como sugestão usem valores menores que 100 para regras REFLEXIVE, entre 100 e 199 para DNAT e acima de 200 para SNAT.