Hướng dẫn cấu hình NAT port trên firewall Sophos
Hãy tưởng tượng bạn có một máy chủ web đã được xây dựng với các nội dung phục vụ cho nội bộ doanh nghiệp của mình, bây giờ bạn cần cho phép người dùng bên ngoài truy cập vào nó để sử dụng website. Để làm được điều đó, thay vì sử dụng VPN vốn yêu cầu cấu hình phức tạp, mang tính riêng tư và số lượng truy cập hữu hạn, các bạn cần phải cấu hình NAT port trên router hoặc firewall. Trường hợp sử dụng cũng tương tự như khi các bạn muốn truy cập vào sử dụng Camera, thiết bị NAS,… bên trong mạng nội bộ.
NAT port hay còn gọi là mở port hoặc port forwarding, thực chất là 1 dạng NAT overload được cài đặt thủ công. Nó sẽ dịch địa chỉ IP nội bộ và số cổng của thiết bị thành một địa chỉ IP công cộng, giúp người dùng bên ngoài có thể kết nối đến thiết bị nội bộ của bạn. Đối với các dịch vụ khác nhau thì cách cấu hình vẫn tương tự, các bạn chỉ cần thay đổi port cho dịch vụ đó là được. Trong bài viết này, CNTTShop sẽ hướng dẫn bạn cách cấu hình NAT port trên các dòng firewall Sophos nhé.
Mô hình
Trong bài viết này, mô hình mình sử dụng bao gồm 1 firewall Sophos kết nối trực tiếp ra internet, bên dưới là lớp mạng LAN. Ở đây mình sẽ cần mở port cho Desktop và Web server với port dịch vụ tương ứng là 3389 (Remote desktop) và 80 (HTTP). IP nội bộ của desktop là 172.16.16.100, IP của Web server là 172.16.16.17 và IP WAN giả lập là 10.10.11.58. Trên firewall Sophos mình sẽ cấu hình NAT port cho 2 dịch vụ này để user bên ngoài có thể truy cập được nhé.
Các bước cấu hình
Để NAT port dịch vụ ra bên ngoài, trước hết các bạn cần định nghĩa IP của máy chủ nội bộ và dịch vụ cần mở. Các bạn click vào menu Host and services trên Dashboard, tại mục IP host các bạn click chọn Add.
Trong bảng thông tin này, các bạn cần điền:
- Name: Đặt tên cho host cần mở port
- Type: chọn IP
- IP address: Nhập IP nội bộ của host
Tiếp theo các bạn cũng cần định nghĩa dịch vụ được sử dụng. Mặc định trên firewall Sophos đều có sẵn các port dịch vụ phổ biến như HTTP, HTTPS, FTP, SMTP,…. Nếu sử dụng các dịch vụ này thì các bạn sẽ không cần phải định nghĩa riêng. Đối với một số port dịch vụ khác không có sẵn, các bạn định nghĩa theo như sau:
Chuyển sang tab Services ⇒ Add
- Name: Đặt tên cho dịch vụ đang được sử dụng
- Type: Chọn loại dịch vụ tương ứng với dịch vụ đang sử dụng
- Bên dưới các bạn điền số port của dịch vụ mà các bạn đã đặt vào phần “Destination port” và lựa chọn đúng giao thức TCP hoặc UDP tùy thuộc vào dịch vụ mà các bạn sử dụng nhé. Nếu các bạn không biết số port đang dùng là bao nhiêu thì có thể vào phần cài đặt network của một số thiết bị như đầu ghi Camera, NAS,… để xem.
OK sau khi định nghĩa xong IP và dịch vụ, các bạn sẽ cần phải tạo policy để cho phép user từ bên ngoài có thể truy cập được vào dịch vụ đó.
Chuyển đến menu Rules and policies ⇒ Add firewall rules ⇒ Server access assistant (DNAT).
Giao diện setup Wizard sẽ hiện ra, ở step 1 các bạn có thể tạo luôn 1 IP cho host trực tiếp với option bên dưới, ở đây mình đã định nghĩa host ở bước trước nên mình sẽ chọn trong option “select IP host” ở trên
Step 2 các bạn chọn IP hoặc cổng WAN kết nối ra Internet. Lưu ý nếu nhập trực tiếp IP WAN ở option bên dưới thì trong trường hợp các bạn thuê IP WAN động từ nhà mạng, truy cập có thể thất bại nếu IP WAN bị thay đổi. Ở đây mình sẽ chọn cổng WAN theo option bên trên, kết nối sẽ không bị ngắt khi IP WAN thay đổi
Tiếp tục step 3 các bạn chọn dịch vụ như đã định nghĩa ở bước trên.
Step 4 là lựa chọn source network để truy cập từ internet, các bạn chọn “Any” để cho phép truy cập từ bất kỳ đâu qua internet.
Cuối cùng step 5 sẽ hiện thị lại tất cả các thông số các bạn vừa cấu hình, ấn “Save and finish” để hoàn thành.
Mình đã NAT port cho dịch vụ Remote desktop như các bước ở trên, tiếp theo mình sẽ thực hiện với dịch vụ web HTTP tương tự như trên. Tuy nhiên dịch vụ HTTP đã có sẵn trên firewall rồi nên mình sẽ không định nghĩa lại dịch vụ này nữa. Sau khi tạo xong mình đã có 2 rule như hình bên dưới:
Kiểm tra kết quả
Để kiểm tra xem các bạn đã NAT port thành công chưa, các bạn có thể vào 1 số trang web check port ví dụ như ping.eu, nếu trạng thái port open tức là chúng ta đã cấu hình thành công. Cùng với đó các bạn hoàn toàn có thể truy cập vào dịch vụ trong mạng nội bộ bằng cách nhập IP WAN của doanh nghiệp, tổ chức trên trình duyệt của mình hoặc nhập tên miền nếu như các bạn có sử dụng DDNS của bên thứ ba.
Ở đây mình sẽ sử dụng một máy tính từ xa truy cập luôn vào 2 thiết bị như mô hình ban đầu nhé.
Truy cập vào Desktop bằng Remote desktop:
Truy cập vào web server bằng HTTP
OK như vậy là mình đã có thể truy cập được từ xa vào cả 2 dịch vụ như trong mô hình, cấu hình đã thành công.
Khắc phục một số lỗi
Lưu ý rằng nếu sau khi cấu hình mà các bạn vẫn thấy port chưa open, không thể truy cập thì cần kiểm tra lại phần kết nối trong mạng LAN, đảm bảo rằng có thể truy cập được IP của thiết bị với port tương ứng bên trong mạng nội bộ. Các bạn có thể sử dụng trình duyệt hoặc telnet tới IP và port của dịch vụ trong Command promt để check như hình bên dưới.
Ngoài ra khi các bạn sử dụng các gói mạng FTTH thông thường của nhà mạng, địa chỉ IP WAN mà các bạn nhận được sẽ là các IP động, các địa chỉ IPv4 này có thể là IP CG-NAT, các bạn sẽ không thể mở được port nếu đang sử dụng những IP này. Để check xem IP WAN của mình có bị NAT hay không, các bạn cũng có thể vào trang ping.eu hoặc whatismyip để xem IP WAN hiện tại của mình. Nếu kết quả hiển thị khác với IP mà firewall hiển thị trên cổng WAN tức là IP WAN này đã bị NAT. Khi đó các bạn cần liên hệ với kỹ thuật của nhà mạng để đổi IP public khác không bị NAT hoặc đổi sang dùng IP tĩnh nhé.
Kết luận
Như vậy là mình đã hướng dẫn các bạn cấu hình NAT port trên firewall Sophos và cách khắc phục một số trường hợp không NAT port thành công. Cấu hình chỉ đơn giản như vậy thôi, nếu các bạn có thắc mắc nào trong quá trình cấu hình thì hãy để lại comment bên dưới để được đội ngũ kỹ sư của CNTTShop giải đáp nhé. Chúc bạn thành công!
Switch
.png){kind=icon}
.png){kind=logo}
.png "Hướng dẫn cấu hình IPsec VPN Remote access trên firewall Sophos")
Bình luận bài viết!