Yandex Cloud
Поиск
Связаться с намиПодключиться
  • Документация
  • Блог
  • Все сервисы
  • Статус работы сервисов
    • Популярные
    • Инфраструктура и сеть
    • Платформа данных
    • Контейнеры
    • Инструменты разработчика
    • Бессерверные вычисления
    • Безопасность
    • Мониторинг и управление ресурсами
    • Машинное обучение
    • Бизнес-инструменты
  • Все решения
    • По отраслям
    • По типу задач
    • Экономика платформы
    • Безопасность
    • Техническая поддержка
    • Каталог партнёров
    • Обучение и сертификация
    • Облако для стартапов
    • Облако для крупного бизнеса
    • Центр технологий для общества
    • Облако для интеграторов
    • Поддержка IT-бизнеса
    • Облако для фрилансеров
    • Обучение и сертификация
    • Блог
    • Документация
    • Контент-программа
    • Мероприятия и вебинары
    • Контакты, чаты и сообщества
    • Идеи
    • Истории успеха
    • Тарифы Yandex Cloud
    • Промоакции и free tier
    • Правила тарификации
  • Документация
  • Блог
Проект Яндекса
© 2025 ООО «Яндекс.Облако»
Практические руководства
    • Все руководства
    • Настройка сетевого взаимодействия ресурсов из разных каталогов
    • Создание бастионного хоста
    • Создание туннеля между двумя подсетями при помощи OpenVPN Access Server
    • Защищенный доступ пользователей к облачным ресурсам на основе WireGuard VPN
    • Создание и настройка шлюза UserGate в режиме межсетевого экрана
    • Реализация отказоустойчивых сценариев для сетевых ВМ
    • Реализация защищенной высокодоступной сетевой инфраструктуры с выделением DMZ на основе Check Point NGFW
    • Сегментация облачной инфраструктуры с помощью решения Check Point Next-Generation Firewall
    • Реализация защищенной высокодоступной сетевой инфраструктуры с выделением DMZ на основе UserGate NGFW
    • Организация доступа через Cloud Interconnect к облачным сетям, размещенным за NGFW
    • Настройка защищенного туннеля GRE поверх IPsec
    • Настройка сети для Yandex Data Processing
    • Переключение сетевого соединения при пересоздании кластера Yandex Data Processing
    • Подключение к Object Storage из VPC
    • Подключение к Container Registry из VPC
    • Создание прямого транкового подключения и приватного соединения в нем
    • Создание прямого транкового подключения и публичного соединения в нем
    • Создание нового партнерского транкового подключения и приватного соединения в нем
    • Создание нового партнерского транкового подключения и публичного соединения в нем
    • Добавление приватного соединения в прямое или партнерское транковое подключение
    • Добавление публичного соединения в прямое или партнерское транковое подключение
    • Изменить емкость транкового подключения
    • Изменить набор IP-префиксов в приватном соединении
    • Удалить приватное соединение
    • Удалить публичное соединение
    • Удалить транковое подключение
    • Настройка VRRP для кластера серверов BareMetal
    • Настройка сетевой связности в подсети BareMetal
    • Настройка сетевой связности между подсетями BareMetal и Virtual Private Cloud
    • Доставка USB-устройств на сервер BareMetal или виртуальную машину

В этой статье:

  • Перед началом работы
  • Необходимые платные ресурсы
  • Создайте облачную сеть и подсеть
  • Зарезервируйте статический публичный IP-адрес
  • Создайте виртуальную машину UserGate
  • Настройте UserGate NGFW через веб-консоль администратора
  • Настройте шлюз для работы в режиме межсетевого экрана
  • Настройте правила фильтрации трафика
  • Настройте маршрутизацию для подсети
  • Протестируйте межсетевой экран
  • Подготовьте тестовую виртуальную машину
  • Настройте реверс-proxy к веб-сервису через межсетевой экран
  • Протестируйте доступность веб-сервера из интернета
  • Как удалить созданные ресурсы
  1. Архитектура, сетевое взаимодействие
  2. Создание и настройка шлюза UserGate в режиме межсетевого экрана

Создание и настройка шлюза UserGate в режиме межсетевого экрана

Статья создана
Yandex Cloud
Улучшена
Обновлена 21 апреля 2025 г.
  • Перед началом работы
    • Необходимые платные ресурсы
  • Создайте облачную сеть и подсеть
  • Зарезервируйте статический публичный IP-адрес
  • Создайте виртуальную машину UserGate
  • Настройте UserGate NGFW через веб-консоль администратора
    • Настройте шлюз для работы в режиме межсетевого экрана
    • Настройте правила фильтрации трафика
  • Настройте маршрутизацию для подсети
  • Протестируйте межсетевой экран
    • Подготовьте тестовую виртуальную машину
    • Настройте реверс-proxy к веб-сервису через межсетевой экран
    • Протестируйте доступность веб-сервера из интернета
  • Как удалить созданные ресурсы

UserGate — межсетевой экран нового поколения от одноименной российской компании.

Вы создадите виртуальную машину UserGate в Yandex Cloud и настроите шлюз для работы в режиме межсетевого экрана. Для расширенного изучения возможностей UserGate пройдите бесплатный курс UserGate Getting Started.

Чтобы развернуть шлюз UserGate и проверить его работу:

  1. Подготовьте облако к работе.
  2. Создайте облачную сеть и подсеть.
  3. Зарезервируйте статический публичный IP-адрес.
  4. Создайте виртуальную машину UserGate.
  5. Настройте UserGate NGFW через веб-консоль администратора.
  6. Настройте маршрутизацию в подсети.
  7. Проведите тестирование работы межсетевого экрана.

Если созданные ресурсы вам больше не нужны, удалите их.

Перед началом работыПеред началом работы

Зарегистрируйтесь в Yandex Cloud и создайте платежный аккаунт:

  1. Перейдите в консоль управления, затем войдите в Yandex Cloud или зарегистрируйтесь.
  2. На странице Yandex Cloud Billing убедитесь, что у вас подключен платежный аккаунт, и он находится в статусе ACTIVE или TRIAL_ACTIVE. Если платежного аккаунта нет, создайте его и привяжите к нему облако.

Если у вас есть активный платежный аккаунт, вы можете создать или выбрать каталог, в котором будет работать ваша инфраструктура, на странице облака.

Подробнее об облаках и каталогах.

Необходимые платные ресурсыНеобходимые платные ресурсы

В стоимость поддержки шлюза UserGate входит:

  • плата за постоянно запущенную ВМ (см. тарифы Yandex Compute Cloud);
  • плата за использование UserGate NGFW;
  • плата за использование публичного статического IP-адреса (см. тарифы Yandex Virtual Private Cloud).

Создайте облачную сеть и подсетьСоздайте облачную сеть и подсеть

Создайте облачную сеть с подсетями в тех зонах доступности, где будет находиться виртуальная машина.

Консоль управления
CLI
Terraform
API
  1. На странице каталога в консоли управления нажмите кнопку Создать ресурс и выберите пункт Сеть.
  2. Задайте имя сети: usergate-network.
  3. Включите опцию Создать подсети.
  4. Нажмите кнопку Создать сеть.

Если у вас еще нет интерфейса командной строки Yandex Cloud (CLI), установите и инициализируйте его.

По умолчанию используется каталог, указанный при создании профиля CLI. Чтобы изменить каталог по умолчанию, используйте команду yc config set folder-id <идентификатор_каталога>. Также для любой команды вы можете указать другой каталог с помощью параметров --folder-name или --folder-id.

  1. Создайте сеть usergate-network:

    yc vpc network create usergate-network
    

    Результат:

    id: enptrcle5q3d********
    folder_id: b1g9hv2loamq********
    created_at: "2022-06-08T09:25:03Z"
    name: usergate-network
    default_security_group_id: enpbsnnop4ak********
    

    Подробнее о команде yc vpc network create см. в справочнике CLI.

  2. Создайте подсеть usergate-subnet-ru-central1-d в зоне доступности ru-central1-d:

    yc vpc subnet create usergate-subnet-ru-central1-d \
      --zone ru-central1-d \
      --network-name usergate-network \
      --range 10.1.0.0/16
    

    Результат:

    id: e9bnnssj8sc8********
    folder_id: b1g9hv2loamq********
    created_at: "2022-06-08T09:27:00Z"
    name: usergate-subnet-ru-central1-d
    network_id: enptrcle5q3d********
    zone_id: ru-central1-d
    v4_cidr_blocks:
    - 10.1.0.0/16
    

    Подробнее о команде yc vpc subnet create см. в справочнике CLI.

  1. Опишите в конфигурационном файле параметры сети usergate-network и ее подсетей:

    resource "yandex_vpc_network" "usergate-network" {
      name = "usergate-network"
    }
    
    resource "yandex_vpc_subnet" {
      name           = "usergate-subnet-ru-central1-d"
      zone           = "ru-central1-d"
      network_id     = "${yandex_vpc_network.usergate-network.id}"
      v4_cidr_blocks = ["10.1.0.0/16"]
    }
    

    Подробнее см. в описаниях ресурсов yandex_vpc_network и yandex_vpc_subnet в документации провайдера Terraform.

  2. Проверьте корректность конфигурационных файлов.

    1. В командной строке перейдите в папку, где вы создали конфигурационный файл.

    2. Выполните проверку с помощью команды:

      terraform plan
      

    Если конфигурация описана верно, в терминале отобразится список создаваемых ресурсов и их параметров. Если в конфигурации есть ошибки, Terraform на них укажет.

  3. Разверните облачные ресурсы.

    1. Если в конфигурации нет ошибок, выполните команду:

      terraform apply
      
    2. Подтвердите создание ресурсов: введите в терминал слово yes и нажмите Enter.

  1. Создайте сеть usergate-network с помощью вызова gRPC API NetworkService/Create или метода REST API create для ресурса Network.
  2. Создайте подсеть usergate-subnet-ru-central1-d с помощью вызова gRPC API SubnetService/Create или метода REST API create для ресурса Subnet.

Зарезервируйте статический публичный IP-адресЗарезервируйте статический публичный IP-адрес

Для работы шлюзу потребуется статический публичный IP-адрес.

Консоль управления
CLI
Terraform
  1. В консоли управления перейдите на страницу каталога, в котором нужно зарезервировать адрес.
  2. В списке сервисов выберите Virtual Private Cloud.
  3. На панели слева выберите IP-адреса.
  4. Нажмите кнопку Зарезервировать адрес.
  5. В открывшемся окне выберите зону доступности ru-central1-d.
  6. Нажмите кнопку Зарезервировать.

Выполните команду:

yc vpc address create --external-ipv4 zone=ru-central1-d

Результат:

id: e9b6un9gkso6********
folder_id: b1g7gvsi89m3********
created_at: "2022-06-08T17:52:42Z"
external_ipv4_address:
  address: 178.154.253.52
  zone_id: ru-central1-d
  requirements: {}
reserved: true

Подробнее о команде yc vpc address create см. в справочнике CLI.

Опишите в конфигурационном файле параметры публичного адреса yandex_vpc_address:

resource "yandex_vpc_address" "usergate-addr" {
name = "usergate-addr"
external_ipv4_address {
  zone_id = "ru-central1-d"
  }
}

Подробнее см. описание ресурса vpc_address в документации провайдера Terraform.

Создайте виртуальную машину UserGateСоздайте виртуальную машину UserGate

Консоль управления
CLI
Terraform
API
  1. На странице каталога в консоли управления нажмите кнопку Создать ресурс и выберите Виртуальная машина.

  2. В блоке Образ загрузочного диска в поле Поиск продукта введите UserGate NGFW и выберите образ UserGate NGFW.

  3. В блоке Расположение выберите зону доступности ru-central1-d.

  4. В блоке Вычислительные ресурсы перейдите на вкладку Своя конфигурация и укажите необходимую платформу, количество vCPU и объем RAM:

    • Платформа — Intel Ice Lake.
    • vCPU — 4.
    • Гарантированная доля vCPU — 100%.
    • RAM — 8 ГБ.

    Примечание

    Указанные параметры подойдут для функционального тестирования шлюза. Чтобы рассчитать параметры для более серьезной нагрузки, ознакомьтесь с официальными рекомендациями UserGate.

  5. В блоке Сетевые настройки:

    • В поле Подсеть выберите сеть usergate-network и подсеть usergate-subnet-ru-central1-d.
    • В поле Публичный IP-адрес нажмите Список и выберите зарезервированный ранее IP-адрес.
  6. В блоке Доступ выберите вариант SSH-ключ и укажите данные для доступа на ВМ:

    • В поле Логин введите имя пользователя. Не используйте имя root или другие имена, зарезервированные ОС. Для выполнения операций, требующих прав суперпользователя, используйте команду sudo.
    • В поле SSH-ключ выберите SSH-ключ, сохраненный в вашем профиле пользователя организации.

      Если в вашем профиле нет сохраненных SSH-ключей или вы хотите добавить новый ключ:

      • Нажмите кнопку Добавить ключ.
      • Задайте имя SSH-ключа.
      • Загрузите или вставьте содержимое открытого SSH-ключа. Пару SSH-ключей для подключения к ВМ по SSH необходимо создать самостоятельно.
      • Нажмите кнопку Добавить.

      SSH-ключ будет добавлен в ваш профиль пользователя организации.

      Если в организации отключена возможность добавления пользователями SSH-ключей в свои профили, добавленный открытый SSH-ключ будет сохранен только в профиле пользователя создаваемой виртуальной машины.

  7. В блоке Общая информация задайте имя ВМ: usergate-firewall.

  8. Нажмите кнопку Создать ВМ.

  1. Создайте пару ключей SSH.

  2. Выполните команду:

    yc compute instance create \
      --name usergate-firewall \
      --memory 8 \
      --cores 4 \
      --zone ru-central1-d \
      --create-boot-disk image-folder-id=standard-images,image-family=usergate-ngfw \
      --ssh-key <путь_к_открытой_части_SSH-ключа> \
      --public-address=<зарезервированный_IP_адрес>
    

    Результат:

    id: fhm2na1siftp********
    folder_id: b1g86q4m5vej********
    created_at: "2022-06-09T11:15:52Z"
    name: usergate-firewall
    zone_id: ru-central1-d
    platform_id: standard-v2
    resources:
      memory: "8589934592"
      cores: "4"
      core_fraction: "100"
    status: RUNNING
    boot_disk:
      mode: READ_WRITE
      device_name: fhmiq60rni2t********
      auto_delete: true
      disk_id: fhmiq60rni2t********
    network_interfaces:
    - index: "0"
      mac_address: d0:0d:2b:a8:3c:93
      subnet_id: e9bqlr188as7********
      primary_v4_address:
        address: 10.1.0.27
        one_to_one_nat:
          address: 51.250.72.1
          ip_version: IPV4
    fqdn: fhm2na1siftp********.auto.internal
    scheduling_policy: {}
    network_settings:
      type: STANDARD
    placement_policy: {}
    

    Подробнее о команде yc compute instance create см. в справочнике CLI.

  1. Получите идентификатор последней версии образа UserGate NGFW из списка публичных образов.

  2. Опишите в конфигурационном файле параметры ВМ usergate-firewall:

    resource "yandex_compute_disk" "boot-disk" {
      name     = "boot-disk"
      type     = "network-hdd"
      zone     = "ru-central1-d"
      size     = "110"
      image_id = "<идентификатор_образа_UserGate_NGFW>"
    }
    
    resource "yandex_compute_instance" "usergate-firewall" {
      name        = "usergate-firewall"
      platform_id = "standard-v3"
      zone        = "ru-central1-d"
      hostname    = "usergate"
      resources {
        cores         = 4
        core_fraction = 100
        memory        = 8
      }
    
      boot_disk {
        disk_id = yandex_compute_disk.boot-disk.id
      }
    
      network_interface {
        subnet_id          = "${yandex_vpc_subnet.usergate-subnet.id}"
        nat                = true
        nat_ip_address     = <зарезервированный_IP_адрес>
      }
    

    Подробнее см. в описании ресурса yandex_compute_instance в документации провайдера Terraform.

  3. Проверьте корректность конфигурационных файлов.

    1. В командной строке перейдите в папку, где находится конфигурационный файл.

    2. Выполните проверку с помощью команды:

      terraform plan
      

    Если конфигурация описана верно, в терминале отобразится список создаваемых ресурсов и их параметров. Если в конфигурации есть ошибки, Terraform на них укажет.

  4. Разверните облачные ресурсы.

    1. Если в конфигурации нет ошибок, выполните команду:

      terraform apply
      
    2. Подтвердите создание ресурсов: введите в терминал слово yes и нажмите Enter.

Создайте ВМ usergate-firewall с помощью метода REST API create для ресурса Instance.

Настройте UserGate NGFW через веб-консоль администратораНастройте UserGate NGFW через веб-консоль администратора

Для настройки шлюза перейдите в веб-консоль администратора UserGate NGFW по адресу https://<публичный_адрес_ВМ_UserGate>:8001 и авторизуйтесь с данными по умолчанию: логин — Admin, пароль — utm.

После авторизации вам будет предложено изменить пароль по умолчанию и провести обновление ОС.

Настройте шлюз для работы в режиме межсетевого экранаНастройте шлюз для работы в режиме межсетевого экрана

Сконфигурируйте UserGate NGFW:

  1. В верхнем меню выберите Настройки.
  2. В меню слева перейдите в раздел Сеть ⟶ Зоны.
  3. Нажмите на имя зоны Trusted.
  4. Перейдите на вкладку Контроль доступа и включите опцию Консоль администрирования. Нажмите кнопку Сохранить.
  5. В меню слева перейдите в раздел Сеть ⟶ Интерфейсы.
  6. Нажмите на имя сетевого интерфейса port0.
  7. На вкладке Общие в поле Зона выберите из списка зону Trusted. Нажмите кнопку Сохранить.
  8. В меню слева перейдите в раздел Политики сети ⟶ Межсетевой экран.
  9. Нажмите на имя предустановленного правила Allow trusted to untrusted.
  10. Перейдите на вкладку Назначение и отключите зону Untrusted. Нажмите кнопку Сохранить.
  11. Включите правило Allow trusted to untrusted. Для этого выделите строку с правилом и в верхней части экрана нажмите кнопку Включить.
  12. В меню слева перейдите в раздел Политики сети ⟶ NAT и маршрутизация.
  13. Нажмите на имя предустановленного правила NAT from Trusted to Untrusted.
  14. Перейдите на вкладку Назначение и измените зону назначения с Untrusted на Trusted. Нажмите кнопку Сохранить.
  15. Включите правило NAT from Trusted to Untrusted. Для этого выделите строку с правилом и в верхней части экрана нажмите кнопку Включить.

На этом первоначальная настройка шлюза закончена.

Настройте правила фильтрации трафикаНастройте правила фильтрации трафика

Из политик, предустановленных по умолчанию, рекомендуется использовать Block to botnets, Block from botnets и Example block RU RKN by IP list. Предварительно измените в них значения нескольких параметров:

  1. Перейдите в раздел Политики сети ⟶ Межсетевой экран.
  2. Нажмите на имя предустановленного правила.
  3. Перейдите на вкладку Источник и измените исходную зону с Untrusted на Trusted.
  4. Перейдите на вкладку Назначение и отключите зону Untrusted.
  5. Нажмите кнопку Сохранить.
  6. Включите выбранное правило. Для этого выделите строку с правилом и в верхней части экрана нажмите кнопку Включить.

Для обеспечения большей безопасности настройте дополнительные правила для фильтрации трафика:

  1. Перейдите в раздел Политики сети ⟶ Межсетевой экран.

  2. Добавьте первое правило для блокировки:

    1. В верхней части экрана нажмите кнопку Добавить.

    2. Укажите параметры правила:

      • Название — Блокировка протокола QUIC.
      • Действие — Запретить.
    3. Перейдите на вкладку Источник и выберите Trusted.

    4. Перейдите на вкладку Сервис.

    5. Нажмите кнопку Добавить.

    6. Выберите сервис Quick UDP Internet Connections и нажмите кнопку Добавить. Затем нажмите кнопку Закрыть.

    7. Нажмите кнопку Сохранить.

  3. Добавьте второе правило для блокировки:

    1. В верхней части экрана нажмите кнопку Добавить.

    2. Укажите параметры правила:

      • Название — Блокировка обновлений Windows.
      • Действие — Запретить.
    3. Перейдите на вкладку Источник и выберите Trusted.

    4. Перейдите на вкладку Приложения.

    5. Нажмите Добавить ⟶ Добавить приложения.

    6. Выберите приложение Microsoft Update и нажмите кнопку Добавить.

    7. Выберите приложение WinUpdate и нажмите кнопку Добавить. Затем нажмите кнопку Закрыть.

    8. Нажмите кнопку Сохранить.

Вы можете добавить и другие правила для фильтрации трафика. Не рекомендуется совмещать сервисы и приложения в одном правиле. В этом случае правило может не сработать.

Настройте маршрутизацию для подсетиНастройте маршрутизацию для подсети

Создайте статический маршрут:

Консоль управления
CLI
Terraform
  1. В консоли управления перейдите в каталог, где нужно создать статический маршрут.

  2. В списке сервисов выберите Virtual Private Cloud.

  3. На панели слева выберите Таблицы маршрутизации.

  4. Нажмите кнопку Создать.

  5. Задайте имя таблицы маршрутизации. Требования к имени:

    • длина — от 2 до 63 символов;
    • может содержать строчные буквы латинского алфавита, цифры и дефисы;
    • первый символ — буква, последний — не дефис.
  6. (Опционально) Добавьте описание таблицы маршрутизации.

  7. Выберите сеть usergate-network.

  8. Нажмите кнопку Добавить маршрут.

  9. В открывшемся окне введите префикс подсети назначения 0.0.0.0 и выберите 0 в выпадающем списке.

  10. Укажите next hop — внутренний IP-адрес виртуальной машины UserGate usergate-firewall.

  11. Нажмите кнопку Добавить.

  12. Нажмите кнопку Создать таблицу маршрутизации.

Чтобы использовать статические маршруты, необходимо привязать таблицу маршрутизации к подсети:

  1. На панели слева выберите Подсети.
  2. В строке подсети usergate-subnet-ru-central1-d нажмите кнопку .
  3. В открывшемся меню выберите пункт Привязать таблицу маршрутизации.
  4. В открывшемся окне выберите созданную таблицу в списке.
  5. Нажмите кнопку Привязать.

Чтобы создать таблицу маршрутизации и добавить в нее статические маршруты:

  1. Посмотрите описание команды CLI для создания таблиц маршрутизации:

    yc vpc route-table create --help
    
  2. Получите идентификаторы облачных сетей в вашем облаке:

    yc vpc network list
    

    Результат:

    +----------------------+--------------------+
    |          ID          |      NAME          |
    +----------------------+--------------------+
    | enp846vf5fus******** | usergate-network   |
    +----------------------+--------------------+
    
  3. Создайте таблицу маршрутизации в сети usergate-network:

    yc vpc route-table create \
      --name=test-route-table \
      --network-id=enp846vf5fus******** \
      --route destination=0.0.0.0/0,next-hop=10.129.0.24
    

    Где:

    • name — имя таблицы маршрутизации.
    • network-id — идентификатор сети, в которой будет создана таблица.
    • route — настройки маршрута, включают два параметра:
      • destination — префикс подсети назначения в нотации CIDR.
      • next-hop — внутренний IP-адрес виртуальной машины UserGate usergate-firewall.

    Результат:

    ...done
    id: enpsi6b08q2v********
    folder_id: b1gqs1teo2q2********
    created_at: "2019-06-24T09:57:54Z"
    name: test-route-table
    network_id: enp846vf5fus********
    static_routes:
    - destination_prefix: 0.0.0.0/0
      next_hop_address: 10.129.0.24
    

Чтобы использовать статические маршруты, необходимо привязать таблицу маршрутизации к подсети:

  1. Получите список подсетей в вашем облаке:

    yc vpc subnet list
    

    Результат:

    +----------------------+-------------------------------+----------------------+----------------------+---------------+-----------------+
    |          ID          |               NAME            |      NETWORK ID      |    ROUTE TABLE ID    |       ZONE    |      RANGE      |
    +----------------------+-------------------------------+----------------------+----------------------+---------------+-----------------+
    | b0c4l3v9jrgd******** | usergate-subnet-ru-central1-d | enpjsdf771h0******** |                      | ru-central1-d | [10.130.0.0/24] |
    +----------------------+-------------------------------+----------------------+----------------------+---------------+-----------------+
    
  2. Привяжите таблицу маршрутизации к подсети, в которой будет работать веб-сервис, например, к подсети usergate-subnet-ru-central1-d:

    yc vpc subnet update b0c4l3v9jrgd******** --route-table-id e2l5345dlgr1********
    

    Результат:

    ..done
    id: b0c4l3v9jrgd********
    folder_id: b1gqs1teo2q2********
    created_at: "2019-03-12T13:27:22Z"
    name: subnet-1
    network_id: enp846vf5fus********
    zone_id: ru-central1-d
    v4_cidr_blocks:
    - 192.168.0.0/24
    route_table_id: e2l5345dlgr1********
    

Чтобы создать таблицу маршрутизации и добавить в нее статические маршруты:

  1. Опишите в конфигурационном файле параметры ресурсов, которые необходимо создать:

    • name — имя таблицы маршрутизации. Формат имени:

      • длина — от 2 до 63 символов;
      • может содержать строчные буквы латинского алфавита, цифры и дефисы;
      • первый символ — буква, последний — не дефис.
    • network_id — идентификатор сети, в которой будет создана таблица.

    • static_route — описание статического маршрута:

      • destination_prefix — префикс подсети назначения в нотации CIDR.
      • next_hop_address — внутренний IP-адрес виртуальной машины из разрешенных диапазонов, через которую будет направляться трафик.

    Пример структуры конфигурационного файла:

    resource "yandex_vpc_route_table" "usergate-rt-d" {
      name       = "<имя_таблицы_маршрутизации>"
      network_id = "<идентификатор_сети>"
      static_route {
        destination_prefix = "0.0.0.0/0"
        next_hop_address   = "10.129.0.24"
      }
    }
    

    Чтобы добавить, изменить или удалить таблицу маршрутизации, используйте ресурс yandex_vpc_route_table с указанием на сеть в поле netword id (например, network_id = "${yandex_vpc_network.lab-net.id}").

    Более подробную информацию о параметрах ресурса yandex_vpc_route_table в Terraform см. в документации провайдера.

  2. Проверьте корректность конфигурационных файлов.

    1. В командной строке перейдите в папку, где вы создали конфигурационный файл.

    2. Выполните проверку с помощью команды:

      terraform plan
      

    Если конфигурация описана верно, в терминале отобразится список создаваемых ресурсов и их параметров. Если в конфигурации есть ошибки, Terraform на них укажет.

  3. Разверните облачные ресурсы.

    1. Если в конфигурации нет ошибок, выполните команду:

      terraform apply
      
    2. Подтвердите создание ресурсов: введите в терминал слово yes и нажмите Enter.

      После этого в указанном каталоге будут созданы все требуемые ресурсы. Проверить появление ресурсов и их настройки можно в консоли управления или с помощью команды CLI:

      yc vpc route-table list
      

Протестируйте межсетевой экранПротестируйте межсетевой экран

Чтобы проверить межсетевой экран, создайте тестовый веб-сервис и убедитесь, что он доступен из интернета.

Подготовьте тестовую виртуальную машинуПодготовьте тестовую виртуальную машину

  1. Создайте виртуальную машину из публичного образа Linux в подсети usergate-subnet-ru-central1-d. В настройках виртуальной машины включите серийную консоль.

  2. Подключитесь к ВМ с помощью CLI, выполнив команду:

    yc compute connect-to-serial-port --instance-name <имя_виртуальной_машины>
    

    Где:
    --instance-name - имя тестовой ВМ.

  3. Запустите тестовый веб-сервис:

    sudo python3 -m http.server 80
    

    Веб-сервер будет отвечать на запросы на порт 80 и возвращать список папок и файлов из каталога.

Настройте реверс-proxy к веб-сервису через межсетевой экранНастройте реверс-proxy к веб-сервису через межсетевой экран

  1. В веб-консоли администратора UserGate в верхнем меню выберите Настройки.

  2. Слева в разделе Глобальный портал выберите Веб-портал и настройте доступ по HTTP-адресу:

    1. Нажмите кнопку Добавить, чтобы открыть диалог добавления портала.
    2. Активируйте чекбокс Включено.
    3. В поле Название введите Тестовый веб-портал.
    4. В поле URL введите http://<IP_адрес_ВМ_UserGate>.
    5. Профиль SSL оставьте по умолчанию.
    6. В поле Сертификат выберите CA (Default).
    7. Нажмите Сохранить.
  3. Выберите Серверы reverse-прокси и добавьте новый сервер:

    1. Нажмите кнопку Добавить, чтобы открыть диалог добавления сервера.
    2. В поле Название введите Локальный сервер.
    3. В поле Адрес сервера введите <внутренний_IP_тестовой_ВМ>, например, 10.129.0.24.
    4. В поле Порт введите 80.
    5. Нажмите Сохранить.
  4. Выберите Правила reverse-прокси и добавьте новое правило:

    1. Нажмите кнопку Добавить, чтобы открыть диалог добавления правила.
    2. Активируйте чекбокс Включено.
    3. В поле Название введите Доступ к локальному серверу.
    4. В поле Сервер reverse-прокси выберите Локальный сервер.
    5. В поле Порты введите 5550.
    6. Нажмите Сохранить.

    На этом настройка доступа к локальному серверу завершена. Межсетевой экран будет принимать запросы на порт 5550 и перенаправлять их на порт 80 по адресу тестовой ВМ.

Протестируйте доступность веб-сервера из интернетаПротестируйте доступность веб-сервера из интернета

  1. Убедитесь, что вы можете выполнить запрос к веб-сервису, перейдя в браузере по адресу:

    http://<IP_адрес_ВМ_UserGate>:5550
    

    В ответ должен вернуться список папок и файлов из каталога.

  2. В веб-консоли администратора UserGate в верхнем меню выберите Журналы и отчёты.

  3. Слева в разделе Журналы выберите Журнал веб-доступа и убедитесь, что появилась запись о выполнении правила Доступ к локальному серверу.

Как удалить созданные ресурсыКак удалить созданные ресурсы

Чтобы перестать платить за созданные ресурсы:

  1. Удалите ВМ usergate-firewall и local-service.
  2. Удалите статический публичный IP-адрес.

Была ли статья полезна?

Предыдущая
Защищенный доступ пользователей к облачным ресурсам на основе WireGuard VPN
Следующая
Реализация отказоустойчивых сценариев для сетевых ВМ
Проект Яндекса
© 2025 ООО «Яндекс.Облако»