Hướng dẫn Mở Ports, NAT Port trên Firewall Maipu IFW400 Series

Trong bài viết này, mình sẽ hướng dẫn các bạn cấu hình mở port, hay còn gọi là NAT port, hoặc Port Forwarding trên Firewall Maipu IFW400 Series. Tất cả các dòng Firewall Maipu IFW400 Series đều có chung cách cấu hình, do vậy các bạn có thể áp dụng với tất cả các mã Firewall, như các dòng IFW400-F4, IFW400-F5, IFW400-X1…

Mô hình Lab

Trong thực tế, chúng ta sẽ phải cấu hình mở port trên Firewall Maipu khi các bạn muốn truy cập 1 dịch vụ nào đó trong mạng LAN từ ngoài Internet, ví như như camera, website, SQL… Trong bài viết này thì mình sẽ sử dụng 1 mô hình đơn giản gồm 1 Firewall Maipu.

Bên trong mình có 1 Server đang sử dụng dịch vụ Remote Desktop port 3389, với IP là 192.168.10.10. Mình sẽ NAT port 3389 để Internet Client có thể remote desktop vào Server thông qua IP WAN.

Kiểm tra dịch vụ

Trước khi NAT thì các bạn sẽ cần phải kiểm tra dịch vụ trong mạng LAN trước. Nếu trong LAN mà dịch vụ chưa hoạt động thì khi các bạn cấu hình đúng thì khi check port cũng sẽ báo Close.

Để kiểm tra thì các bạn có thể truy cập vào dịch vụ bằng các phần mềm tương ứng. Ví dụ mình đang NAT port Remote Desktop, thì mình có thể sử dụng Remote Desktop từ máy khác vào để kiểm tra. Nếu các bạn NAT port Camera thì trước tiên các bạn có thể thử truy cập vào Camera bằng phần mềm tương ứng. Hoặc đơn giản nhất thì các bạn có thể sử dụng TELNET trên windows để test.

Để sử dụng TELNET thì trước tiên các bạn cần bật dịch vụ Telnet Client trên Windowws lên. Các bạn vào Control Panel > Programs and features, chọn Turn Windows features on or off.

Các bạn kéo xuống dưới cùng và tích chọn vào Telnet Client và chờ máy tính cài đặt dịch vụ này.

Sau khi bật Telnet Client xong thì các bạn mở CMD của windows lên. Gõ lệnh telnet, sau đó là IP LAN của thiết bị đang muốn mở port, trong ví dụ của mình là 192.168.10.10, và port dịch vụ đang cần NAT là 3389, toàn bộ lệnh sẽ là telnet 192.168.10.10 3389.

CMD hiển thị màn hình đen là dịch vụ trong mạng LAN đã hoạt động, khi đó các bạn có thể cấu hình Firewall để mở port này.

Trong trường hợp dịch vụ trong LAN không hoạt động, thì CMD sẽ hiển thị thông báo Connect failed, khi đó các bạn cần kiểm tra lại dịch vụ trước. Tất nhiên trước khi check port thì các bạn phải đảm bảo đã ping thông đến IP cần check.

Cấu hình Objects

Đầu tiên chúng ta sẽ tạo các Objects để định nghĩa IP WAN, IP LAN và các Port dịch vụ, các Objects này sẽ cần khi chúng tạo Policy hoặc NAT rule.

Trên giao diện web của Firewall, các bạn vào menu Object > Address > Address Object, nhấn New để tạo.

Mình sẽ tạo 1 Object cho IP LAN nội bộ của Server.

• Name: mình sẽ đặt tên theo IP của Server là Server-192.168.10.10.
• IP Address Library Type: chọn Host và nhập IP của Server vào, nhấn Add. IP xuất hiện ở ô bên dưới là OK.
• Nhấn Confirm để tạo.

Tiếp theo các bạn chuyển sang menu Service Group > Custom Group, nhấn New để tạo.

• Name: Đặt tên cho Service, mình sẽ đặt là Remote-Đesktop-3389.
• Member: chọn TCP hoặc UDP tuỳ thuộc vào dịch vụ của các bạn, Remote Desktop là TCP.
• Source Port: các bạn để mặc định từ 1 đến 65535
• Destination Port: nhập port cần NAT là 3389
• Nhấn Add.
• Nhấn Confirm để tạo.

Cấu hình Destination NAT

Tiếp theo chúng ta sẽ cấu hình NAT Port. Các bạn vào menu Policy > NAT Policy > Destination NAT, chuyển sang tab Rapid Configuration để cấu hình nhanh.

Hai tab này thì đều cùng 1 chức năng, cùng tạo ra 1 NAT rule, ở tab Basic Configuration thì chúng ta sẽ phải định nghĩa tương đối nhiều Object trước khi tạo rule, còn với Rapid configuration thì chúng ta chỉ cần nhập các giá trị vào và firewall sẽ tự tạo Object. Các bạn dùng cách nào cũng được. Nếu muốn tự định nghĩa chính xác object như chúng ta tạo bước trước thì các bạn dùng Basic, còn đơn giản thì Rapid, firewall sẽ làm phần còn lại. Mình sẽ dùng Rapid.

Nhấn New để tạo.

• Destination Address: nhập IP WAN.
• Service: chọn TCP hoặc UDP tuỳ theo dịch vụ cần NAT, Remote desktop sẽ là TCP.
• Port: nhập port sẽ sử dụng ngoài WAN, mình sẽ sử dụng luôn port 3389.
• Source Interface: chọn cổng WAN đang cài đặt IP Public phía trên.
• Converted Destination Address: nhập IP nội bộ cần mở port, trong mô hình của mình là 192.168.10.10.
• Bật phần Conversion Port và nhập Port 3389 vào. Đây là port nội bộ sử dụng trong LAN.
• Nhấn Confirm để tạo

Sau khi tạo NAT rule trong tab Rapid, thì bên tab Basic cũng có 1 Rule tương tự, nhưng ở đây sẽ hiển thị là các Object chứ không phải là giá trị nhập vào như tab Rapid, 2 rule này thực chất là 1, các bạn xoá ở bên nào thì bên còn lại cũng sẽ mất.

Cấu hình Firewall Policy

Cuối cùng chúng ta sẽ cần cấu hình Policy để cho phép người dùng bên ngoài Internet có thể truy cập vào dịch vụ nội bộ.

Chuyển sang menu Firewall Policy > Integration Policy, nhấn New để tạo.

• Source Interface/Security Zone: chọn cổng WAN.
• Destination Interface/ Security Zone: chọn cổng đang nối với Server, trong mô hình của mình là VLAN Server.
• Source Address: chọn Any vì người dùng ở bên ngoài Internet.
• Destination Address: chọn Address Object đã tạo cho IP của máy nội bộ cần NAT.
• Service: chọn Object đã tạo cho remote desktop.
• Các phần khác thì các bạn cấu hình tuỳ nhu cầu, nhấn Confirm để tạo.

Kiểm tra

Để kiểm tra chúng ta đã mở port thành công hay chưa thì có nhiều cách, các bạn có thể vào website ping.eu, chọn Port Check. Trong ô IP nhập IP WAN mà các bạn sử dụng để NAT, Port nhập port public mà các bạn đã NAT. Nhập Capcha và nhấn Go. Kết quả hiển thị Open là các bạn đã NAT thành công.

Nếu kết quả là close thì các bạn sẽ cần check lại dịch vụ trong mạng, hoặc các thiết bị bảo mật như firewall xem có chặn các dịch vụ này không thôi.

Kết luận

Ok Như vậy là mình đã hướng dẫn các bạn cấu hình mở port trên Firewall Maipu để người dùng có thể truy cập được dịch vụ từ xa. Nếu các bạn có thắc mắc hay góp ý nào thì hãy để lại comment để mọi người cùng trao đổi nhé.

Chúc các bạn thành công!