Cấu hình NAT Port, Mở Port, Port Forwarding trên Firewall Cisco FTD

Trong bài viết này, mình sẽ hướng dẫn các bạn NAT port, hay chúng ta thường gọi là mở port hoặc port forwarding trên firewall FPR series phiên bản firmware FTD. Các bạn lưu ý hướng dẫn này áp dụng với phiên bản firmware FTD chứ không phải ASA, với firmware ASA thì chúng ta sẽ có cách làm khác. Và có thể áp dụng cho tất cả các dòng firewall Cisco FPR, bao gồm FPR1000, FPR2100, FPR3100, FPR4100...

Port Forwarding là gì?

Port Forwarding hay NAT Port là 1 kỹ thuật cho phép chúng ta NAT các dịch vụ bên trong mạng local ra ngoài Internet, để người dùng bên ngoài Internet có thể truy cập vào dịch vụ.

Ví dụ, các bạn có các Server Web, SQL, hay các hệ thống camera trong mạng LAN, và các bạn muốn truy cập được từ ngoài Internet, thì các bạn có thể cấu hình Port Forwarding trên firewall để mở các port này. Khi đó các bạn có thể truy cập vào dịch vụ thông qua IP_WAN:Port.

Mô hình và một số lưu ý

Mình sẽ sử dụng mô hình đơn giản này. Bên trong mạng nội bộ mình có 1 máy tính IP 192.168.95.100, đã bật tính năng Remote Desktop sử dụng port mặc định là 3389. Mình sẽ NAT port 3389 này ra để mình có thể Remote Desktop vào máy tính này từ internet thông qua IP WAN là 27.79.156.209.

Các bạn lưu ý là khi NAT port, thì các bạn nên sử dụng đường WAN có IP Tĩnh, do nếu sử dụng IP động thì IP này sẽ thay đổi liên tục, và các bạn sẽ không biết phải truy cập qua IP nào. Trong trường hợp IP động thì các bạn có thể sử dụng dịch vụ DDNS cũng được.

Một lưu ý quan trọng nữa, để NAT được port thành công thì port đó phải đang hoạt động trong mạng LAN rồi. Các bạn có thể kiểm tra bằng cách truy cập vào dịch vụ trong mạng nội bộ, nếu thành công thì chúng ta mới có thể NAT được. Có 1 số trường hợp trong yêu cầu triển khai có phần NAT port, nhưng server họ chưa cài đặt xong thì khi NAT port trước, các bạn kiểm tra port sẽ không open.

Cấu hình mở port trên Firewall FPR Series

Để cấu hình Port Forwarding trên firewall Cisco thì chúng ta sẽ có 3 bước: cấu hình Objects, tạo NAT Policy để mapping các port dịch vụ, và Access Control Policy để cho phép người dùng bên ngoài truy cập vào tài nguyên nội bộ.

Cấu hình Objects

Trước tiên chúng ta sẽ cần tạo các objects để định nghĩa server và port tương ứng. Các bạn truy cập vào menu Objects > Network, nhấn dấu + để tạo.

Sau đó nhập Tên của Object và các thông số liên quan:

• Name các bạn đặt sao cho dễ phân biệt, mình sẽ đặt là Server-1.
• Type chọn Host và nhập IP của Server vào.

Vẫn trong Objects, chuyển sang menu Ports. Cisco đã định nghĩa sẵn 1 số dịch vụ và port tương ứng, nếu các bạn NAT các port này thì có thể bỏ qua bước này. Còn nếu không có, các bạn nhấn dấu + để tạo thêm.

Cấu hình các thông số cho Port Object.

• Name: mình sẽ đặt là Remote-Desktop.
• Protocol: chọn giao thức tương ứng với port, remote desktop sẽ là TCP.
• Port: là 3389.

Cấu hình Access Control Policy

Chuyển sang menu Policies, trong tab Access Control, nhấn dấu + để tạo thêm Policy.

Cấu hình các thông số cho Access Control Policy:

• Name: mình sẽ đặt là NAT-95.100-3389.
• Action: chọn Allow.
• Source Zones: chọn outside_zone, đây là zone chưa cổng WAN mà các bạn đang sử dụng để NAT, do traffic của chúng ta sẽ bắt đầu từ Internet đi vào trong LAN.
• Source Networks: chọn any-ipv4. Các bạn cũng có thể giới hạn chỉ 1 số source IP WAN mới có thể truy cập vào dịch vụ cũng đk, khi đó phần Networks này chúng ta sẽ tạo các objects tương ứng với các IP WAN mà các bạn cho phép và add vào là được.
• Source ports: để mặc định là ANY.
• Destination Zone: chọn Zone mà các bạn đang cấu hình cho server, trong mô hình của mình là inside_zone.
• Destination Networks: chọn Object mà các bạn đã tạo cho Server, trong mô hình là object Server-1 mà mình đã tạo ở trên.
• Destination Ports: chọn object đã tạo cho service, như mô hình là Remote-Desktop.

Cấu hình NAT Rule

Vẫn trong menu Policies, các bạn chuyển sang tab NAT, nhấn dấu + để tạo thêm NAT rule.

Nhập các thông số cho NAT rule để NAT port dịch vụ ra Internet:

• Title: nhập tên cho NAT rule.
• Create Rule for: chọn Manual NAT.
• Status: chọn Enable.
• Placement: chọn Before Auto NAT Rules, do NAT rule này chúng ta cần phải đặt trên các Rule khác.
• Type: chọn Static.
• Trong phần ORIGINAL PACKET:
  • Source Interface: chọn interface mà các bạn kết nối với server, mô hình của mình là cổng Inside.
  • Source Address: chọn Network Object đã tạo cho server, trong mô hình là object Server-1.
  • Source Port: chọn object Remote-Desktop.
• Trong phần TRANSLATED PACKET:
  • Destination Interface: chọn cổng WAN mà các bạn sử dụng để NAT, trong mô hình của mình là cổng Outside.
  • Source Address: chọn Interface.
  • Source Port: chọn object Remote-Desktop.
• Còn lại các bạn để Any.

Sau đó Deploy cấu hình này xuống Firewall. Các bạn cần chờ quá trình Deploy xong thì mới kiểm tra kết quả nhé.

Kiểm tra

Sau khi deploy xong, các bạn có thể check nhanh bằng cách vào 1 số website check port. Mình hay sử dụng website ping.eu, chọn Port Check, sau đó nhập IP WAN và port vào.

Kết quả thông báo Open là chúng ta đã NAT thành công. Khi đó các bạn có thể truy cập dịch vụ bằng IP WAN.

Trong trường hợp check port Close thì trước tiên các bạn thử check dịch vụ bên trong local xem port dịch vụ đã đúng chưa thôi, còn phần cấu hình NAT thì cũng khá đơn giản.

OK như vậy là mình đã hướng dẫn các bạn NAT port trên firewall Cisco FPR chạy phiên bản firmware FTD. Nếu các bạn có thắc mắc hay góp ý nào thì hãy để lại comment để mọi người cùng trao đổi nhé.

Chúc các bạn thành công!