Logo CNTTShop.vn

Hotline:

Hà Nội: NTT03, Line 1, Thống Nhất Complex, 82 Nguyễn Tuân, Thanh Xuân, Hà Nội. ● HCM: Số 13, đường 7C, khu phố 4, phường An Phú, TP Thủ Đức, Hồ Chí Minh. ===> Đơn Vị Hàng Đầu Trong Lĩnh Vực Cung Cấp Thiết Bị Security - Network - Wifi - CCTV - Conference - Máy chủ Server - Lưu trữ Storge.
Thiết bị mạng: 0985 948 360 Máy chủ Server: 0866 176 188 - 0968 498 887 Nvidia GPU-AI: 0906 051 599
Danh mục sản phẩm

Hướng dẫn Mở Ports, NAT Port trên Firewall Maipu IFW400 Series

 

Trong bài viết này, mình sẽ hướng dẫn các bạn cấu hình mở port, hay còn gọi là NAT port, hoặc Port Forwarding trên Firewall Maipu IFW400 Series. Tất cả các dòng Firewall Maipu IFW400 Series đều có chung cách cấu hình, do vậy các bạn có thể áp dụng với tất cả các mã Firewall, như các dòng IFW400-F4, IFW400-F5, IFW400-X1…

Mục Lục

Mô hình Lab

Trong thực tế, chúng ta sẽ phải cấu hình mở port trên Firewall Maipu khi các bạn muốn truy cập 1 dịch vụ nào đó trong mạng LAN từ ngoài Internet, ví như như camera, website, SQL… Trong bài viết này thì mình sẽ sử dụng 1 mô hình đơn giản gồm 1 Firewall Maipu.

mô hình lab khi mở port trên firewall Maipu IFW400 series

Bên trong mình có 1 Server đang sử dụng dịch vụ Remote Desktop port 3389, với IP là 192.168.10.10. Mình sẽ NAT port 3389 để Internet Client có thể remote desktop vào Server thông qua IP WAN.

Kiểm tra dịch vụ

Trước khi NAT thì các bạn sẽ cần phải kiểm tra dịch vụ trong mạng LAN trước. Nếu trong LAN mà dịch vụ chưa hoạt động thì khi các bạn cấu hình đúng thì khi check port cũng sẽ báo Close.

Để kiểm tra thì các bạn có thể truy cập vào dịch vụ bằng các phần mềm tương ứng. Ví dụ mình đang NAT port Remote Desktop, thì mình có thể sử dụng Remote Desktop từ máy khác vào để kiểm tra. Nếu các bạn NAT port Camera thì trước tiên các bạn có thể thử truy cập vào Camera bằng phần mềm tương ứng. Hoặc đơn giản nhất thì các bạn có thể sử dụng TELNET trên windows để test.

Để sử dụng TELNET thì trước tiên các bạn cần bật dịch vụ Telnet Client trên Windowws lên. Các bạn vào Control Panel > Programs and features, chọn Turn Windows features on or off.

Các bạn kéo xuống dưới cùng và tích chọn vào Telnet Client và chờ máy tính cài đặt dịch vụ này.

bật telnet client để kiểm tra port dịch vụ đã hoạt động hay chưa

Sau khi bật Telnet Client xong thì các bạn mở CMD của windows lên. Gõ lệnh telnet, sau đó là IP LAN của thiết bị đang muốn mở port, trong ví dụ của mình là 192.168.10.10, và port dịch vụ đang cần NAT là 3389, toàn bộ lệnh sẽ là telnet 192.168.10.10 3389.

telnet tới ip của server cùng với port dịch vụ để kiểm tra

CMD hiển thị màn hình đen là dịch vụ trong mạng LAN đã hoạt động, khi đó các bạn có thể cấu hình Firewall để mở port này.

cmd hiển thị màn hình đen thì port dịch vụ trong LAN đã hoạt động và có thể mở port bình thường

Trong trường hợp dịch vụ trong LAN không hoạt động, thì CMD sẽ hiển thị thông báo Connect failed, khi đó các bạn cần kiểm tra lại dịch vụ trước. Tất nhiên trước khi check port thì các bạn phải đảm bảo đã ping thông đến IP cần check.

thông báo khi port dịch vụ không hoạt động trong LAN

Cấu hình Objects

Đầu tiên chúng ta sẽ tạo các Objects để định nghĩa IP WAN, IP LAN và các Port dịch vụ, các Objects này sẽ cần khi chúng tạo Policy hoặc NAT rule.

Trên giao diện web của Firewall, các bạn vào menu Object > Address > Address Object, nhấn New để tạo.

Mình sẽ tạo 1 Object cho IP LAN nội bộ của Server.

  • Name: mình sẽ đặt tên theo IP của Server là Server-192.168.10.10.
  • IP Address Library Type: chọn Host và nhập IP của Server vào, nhấn Add. IP xuất hiện ở ô bên dưới là OK.
  • Nhấn Confirm để tạo.

tạo 1 address object cho IP LAN của server để add vào policy

Tiếp theo các bạn chuyển sang menu Service Group > Custom Group, nhấn New để tạo.

  • Name: Đặt tên cho Service, mình sẽ đặt là Remote-Đesktop-3389.
  • Member: chọn TCP hoặc UDP tuỳ thuộc vào dịch vụ của các bạn, Remote Desktop là TCP.
  • Source Port: các bạn để mặc định từ 1 đến 65535
  • Destination Port: nhập port cần NAT là 3389
  • Nhấn Add.
  • Nhấn Confirm để tạo.

tạo service group cho remote desktop port 3389

Cấu hình Destination NAT

Tiếp theo chúng ta sẽ cấu hình NAT Port. Các bạn vào menu Policy > NAT Policy > Destination NAT, chuyển sang tab Rapid Configuration để cấu hình nhanh.

Hai tab này thì đều cùng 1 chức năng, cùng tạo ra 1 NAT rule, ở tab Basic Configuration thì chúng ta sẽ phải định nghĩa tương đối nhiều Object trước khi tạo rule, còn với Rapid configuration thì chúng ta chỉ cần nhập các giá trị vào và firewall sẽ tự tạo Object. Các bạn dùng cách nào cũng được. Nếu muốn tự định nghĩa chính xác object như chúng ta tạo bước trước thì các bạn dùng Basic, còn đơn giản thì Rapid, firewall sẽ làm phần còn lại. Mình sẽ dùng Rapid.

Nhấn New để tạo.

  • Destination Address: nhập IP WAN.
  • Service: chọn TCP hoặc UDP tuỳ theo dịch vụ cần NAT, Remote desktop sẽ là TCP.
  • Port: nhập port sẽ sử dụng ngoài WAN, mình sẽ sử dụng luôn port 3389.
  • Source Interface: chọn cổng WAN đang cài đặt IP Public phía trên.
  • Converted Destination Address: nhập IP nội bộ cần mở port, trong mô hình của mình là 192.168.10.10.
  • Bật phần Conversion Port và nhập Port 3389 vào. Đây là port nội bộ sử dụng trong LAN.
  • Nhấn Confirm để tạo

cấu hình destination NAT để mở port

Sau khi tạo NAT rule trong tab Rapid, thì bên tab Basic cũng có 1 Rule tương tự, nhưng ở đây sẽ hiển thị là các Object chứ không phải là giá trị nhập vào như tab Rapid, 2 rule này thực chất là 1, các bạn xoá ở bên nào thì bên còn lại cũng sẽ mất.

NAT rule hiển thị bên tab configuration

Cấu hình Firewall Policy

Cuối cùng chúng ta sẽ cần cấu hình Policy để cho phép người dùng bên ngoài Internet có thể truy cập vào dịch vụ nội bộ.

Chuyển sang menu Firewall Policy > Integration Policy, nhấn New để tạo.

  • Source Interface/Security Zone: chọn cổng WAN.
  • Destination Interface/ Security Zone: chọn cổng đang nối với Server, trong mô hình của mình là VLAN Server.
  • Source Address: chọn Any vì người dùng ở bên ngoài Internet.
  • Destination Address: chọn Address Object đã tạo cho IP của máy nội bộ cần NAT.
  • Service: chọn Object đã tạo cho remote desktop.
  • Các phần khác thì các bạn cấu hình tuỳ nhu cầu, nhấn Confirm để tạo.

cấu hình firewall policycho phép client từ internet có thể remote vào

Kiểm tra

Để kiểm tra chúng ta đã mở port thành công hay chưa thì có nhiều cách, các bạn có thể vào website ping.eu, chọn Port Check. Trong ô IP nhập IP WAN mà các bạn sử dụng để NAT, Port nhập port public mà các bạn đã NAT. Nhập Capcha và nhấn Go. Kết quả hiển thị Open là các bạn đã NAT thành công.

kiểm tra trạng thái port trên ping.eu

Nếu kết quả là close thì các bạn sẽ cần check lại dịch vụ trong mạng, hoặc các thiết bị bảo mật như firewall xem có chặn các dịch vụ này không thôi.

Kết luận

Ok Như vậy là mình đã hướng dẫn các bạn cấu hình mở port trên Firewall Maipu để người dùng có thể truy cập được dịch vụ từ xa. Nếu các bạn có thắc mắc hay góp ý nào thì hãy để lại comment để mọi người cùng trao đổi nhé.

Chúc các bạn thành công!

Lê Văn Tuấn

Là chuyên gia trong lĩnh vực Network System, Security, Server.. Có kinh nghiệm nhiều năm tư vấn giải pháp mạng, triển khai các giải pháp CNTT và phân phối thiết bị mạng Switch, Wifi, Router, Máy chủ Server, Lưu trữ Storage, Tường lửa Firewall, Video Conferencing, Module quang, Load Balancing. Hiện tại tôi là Founder và Managing Director công ty TNHH Công Nghệ Việt Thái Dương (CNTTShop.vn).

Bình luận bài viết!

Có 0 bình luận:
Chuyên mục chính
Bài viết cùng danh mục
Sản phẩm liên quan