Microsoft Azure – Criando servidor de NAT para subnet privada

Microsoft Azure – Criando servidor de NAT para subnet privada

O post de hoje tem como pré requisito a leitura do post de criação de Virtual Network com subnet pública e privada.

A necessidade de um NAT para a subnet privada criada anteriormente na Azure é para a saída de pacotes oriundos da subnet privada para a internet.

A arquitetura final ao termino do post será como a da imagem a seguir:

Para o servidor de NAT e para o servidor de teste usaremos um servidor com o S.O CentOS 7.

Para não tornar o post extenso, vamos partir do pressuposto que o leitor já sabe criar servidores na Azure.

De acordo com o desenho da infraestrutura, o servidor de NAT deve ficar na subnet pública, deve conter um IP público estático e deve conter as seguintes regras de segurança aplicadas:

  • Porta 22 aberta para o IP de sua rede;
  • Todas as portas liberadas para o range de IP da sua Virtual Network, no nosso caso é para 10.40.0.0/16.

Para o servidor de teste criado na subnet privada, não é necessário nem recomendado ter um IP público para o servidor. As regras de segurança para esse servidor ficarão da seguinte forma:

  • Todas as portas liberadas para o range de IP da sua Virtual Network, no nosso caso é para 10.40.0.0/16.

Após criar o servidor de NAT, é necessário fazer algumas instalações/ configurações nele.

Acesse o seu servidor de NAT, com sua chave ou sua senha através do SSH, em seguida, se torne root com o comando:

Para gerenciamento do forward dos pacotes da subnet privada para a internet usaremos o IPTables, para isso precisamos instala-lo no servidor e habilitá-lo com os seguintes comandos:

Depois precisamos habilitar no kernel do servidor a feature de forward de pacotes usando o comando:

e depois trocando no aquivo /etc/sysctl.conf a opção  net.ipv4.ip_forward = 0 para net.ipv4.ip_forward = 1.

Feito as configurações do IPtables, precisamos dizer a ele quais são suas rules, no nosso caso vamos usar a seguinte regra:

Observe que depois que adicionamos a regra, é necessário salvá-la para não perde-la caso tenha algum restart do serviço de IPTables ou reboot do servidor.

O servidor de NAT está pronto e configurado, agora é preciso adicionar a rota para 0.0.0.0/0 apontando para o IP privado do servidor de NAT na tabela de roteamento da Subnet Privada e pronto 🙂

Acesse seu servidor de teste na subnet privada fazendo um jump pelo servidor de NAT e faça o teste pingando o site de google por exemplo.  

Bom pessoal, espero que tenham gostado do post, abraços.

 

Deixe um comentário

Seu endereço de e-mail não será publicado. Os campos obrigatórios são marcados *