Hướng dẫn cấu hình NAT port dịch vụ trên firewall Palo Alto

NAT port hay còn gọi là mở port hoặc Port forwarding là cơ chế để cho phép dịch vụ port của một máy chủ trong nội bộ được mở trên cổng WAN của rouer/firewall, giúp người dùng bên ngoài có thể kết nối đến camera hoặc máy chủ của bạn. Đối với các dịch vụ khác nhau thì nguyên lý vẫn tương tự, các bạn chỉ cần thay đổi port cho dịch vụ đó là được. Trong bài viết này, CNTTShop sẽ hướng dẫn bạn cách cấu hình NAT port trên các dòng firewall của Palo Alto nhé.

Mục Lục

Mô hình

topology

Trong bài viết này, mô hình mình sử dụng bao gồm 1 firewall Palo Alto kết nối trực tiếp ra internet, bên dưới là lớp mạng LAN. Ở đây mình sẽ cần mở port cho Laptop với port dịch vụ là 3389. IP nội bộ của Laptop là 172.16.16.10, IP WAN giả lập là 10.10.13.35. Mình sẽ thực hiện để user bên ngoài có thể truy cập được laptop của mình thông qua dịch vụ Remote desktop nhé.

Các bước cấu hình

Định nghĩa cho IP và services

Trước hết chúng ta nên định nghĩa hay tạo các object cho IP WAN, IP của laptop và port service để dễ sử dụng và troubleshoot. Các bạn vào menu Object -> Adress và nhấn Add. Mình sẽ định nghĩa cho IP WAN và IP local của laptop.

object1

object2

Nếu IP WAN của các bạn là IP động thì lựa chọn type là FQDN và nhập domain DDNS đã đăng ký vào nhé.

Tiếp theo là định nghĩa cho port TCP 3389

object3

Cấu hình NAT rule

Ở menu Policies, các bạn chọn mục NAT và Add rule với thông tin như sau:

nat1

Tiếp tục chuyển sang tab Original Packet:

nat2

Source zone: chọn zone chứa cổng WAN
Destination zone: zone chứa cổng WAN
Service: Object cho port 3389 vừa tạo
Destination address: object cho WAN-IP vừa tạo

Ở tab Translated Packet, các bạn nhập thông tin như sau:

nat3

Translation type: Static IP
Translated address: object cho IP local của laptop vừa tạo
Translated port: 3389

Cuối cùng ấn OK để lưu

Cấu hình Security Policy

Tiếp theo chúng ta cần tạo các policy để cho phép traffic từ bên ngoài truy cập vào. Các bạn vào mục Security ngay phía trên Add policy với thông tin như sau:

sec1

Tab Source:

sec2

Source zone: zone chứa cổng WAN
Source address: any

Tab Destination

sec3

Destination zone: zone chứa cổng LAN
Destination address: object cho WAN-IP

Tab Service/URL Category

sec4

Services: chọn object service đã tạo

Tab Action chọn Allow và ấn OK để hoàn thành

sec5

Kiểm tra

Để đảm bảo port được mở thành công, trước hết các bạn cần kiểm tra trong local port có truy cập được không nhé. Để kiểm tra thì có nhiều cách nhưng đơn giản nhất là sử dụng công cụ telnet có sẵn của Windows. Các bạn chỉ cần bật feature Telnet client trong Control Panel và telnet tới địa chỉ IP của máy chủ như sau:

telnet1

Nếu sau khi telnet cmd không hiện ra gì thì port trong local đã hoạt động

Để check port từ ngoài internet thì cũng có khá nhiều công cụ trên mạng, phổ biến nhất là ping.eu, nếu trạng thái port open tức là chúng ta đã cấu hình thành công.

Sau khi port đã được NAT, bạn hoàn toàn có thể thực hiện remote-desktop với địa chỉ IP WAN của firewall như dưới đây:

result

Màn hình hiển thị thông báo verify như thế này là bạn đã có thể sẵn sàng remote được laptop trong mạng LAN như với mô hình của mình

Như vậy là mình đã hướng dẫn các bạn cấu hình NAT port trên firewall Palo Alto. Cấu hình chỉ đơn giản như vậy thôi, nếu các bạn có thắc mắc nào trong quá trình cấu hình thì hãy để lại comment bên dưới để được đội ngũ kỹ sư của CNTTShop giải đáp nhé. Chúc bạn thành công!