Hướng dẫn cấu hình Hairpin NAT, NAT Loopback Firewall Cisco FTD

Trong bài viết này, mình sẽ hướng dẫn các bạn cấu hình Hairpin NAT trên firewall Cisco FPR Series, sử dụng phiên bản firmware FTD, được quản lý bởi FDM.

Hairpin NAT là gì? Trường hợp ứng dụng

HairPin NAT là 1 kỹ thuật NAT cho phép các thiết bị nội bộ truy cập được vào các máy chủ nằm trong cùng 1 mạng nội bộ hoặc giữa các VLAN khác nhau, nhưng bằng cách sử dụng địa chỉ IP Public được gán trên giao diện Outside.

Hairpin NAT thì chỉ là 1 cách gọi, đối với các hãng khác nhau, các bạn có thể đã nghe đến khái niệm NAT Reflection, NAT Loopback, thì các khái niệm này đều giống nhau và sử dụng chung mục đích.

Các bạn có thể xem mô hình bên dưới.

Giả sử mình có 1 server Web đặt bên trong LAN và muốn mở Port để Public dịch vụ ra ngoài Internet. Khi đó chúng ta sẽ cấu hình NAT port, hay còn gọi là mở port hoặc Port Forwarding trên firewall. Sau khi cấu hình xong thì toàn bộ người dùng bên ngoài Internet có thể truy cập vào dịch vụ nội bộ thông qua IP WAN và port dịch vụ mà chúng ta đã NAT. Tuy nhiên lúc này sẽ có vấn đề đối với người dùng nội bộ bên trong mạng LAN.

Đối với người dùng nội bộ, nếu User truy cập vào Website bằng IP LAN là 192.168.0.201 thì có thể truy cập bình thường, nhưng nếu truy cập bằng IP Public thì sẽ không truy cập được. Khi truy cập bằng IP Public thì traffic người dùng sẽ đi tới firewall, NAT ra ngoài cổng Outside rồi được NAT ngược vào trong server. Lưu lượng sẽ được quay trở lại trên cùng 1 giao diện Inside mà nó đã đi ra, nên kiểu traffic này cũng thường được gọi là hairpin, vì nó nhìn giống như cái kẹp tóc.

Traffic này sẽ không được đi qua firewall theo cấu hình NAT thông thường. Do vậy để người dùng trong mạng LAN có thể truy cập dịch vụ thông qua IP Public thì chúng ta sẽ cần cấu hình Hairpin NAT trên firewall.

Các bạn có thể sử dụng Hairpin NAT cho tất cả các dịch vụ trong local mà các bạn muốn mở port như camera chẳng hạn.

Kiểu cấu hình NAT này thường ít được sử dụng. Thông thường trong mạng sẽ có DNS Server nội bộ, server sẽ được phân giải qua DNS này để phân giải thành IP nội bộ thay vì IP Public. Trong trường hợp không có DNS nội bộ thì chúng ta sẽ sử dụng Hairpin NAT.

Cấu hình Hairpin NAT trên firewall Cisco FTD

Mình sẽ cấu hình theo mô hình này để cho phép người dùng trong mạng LAN 192.168.0.0/24, có thể truy cập vào server có IP là 192.168.0.201 bằng IP Public. Trong mô hình của mình thì LAN User và Server sẽ chung dải LAN. Đối với trường hợp Server nằm ở VLAN khác, như DMZ chẳng hạn, thì các bạn cũng cấu hình tương tự, chỉ cần chọn đúng zone và interface cho LAN User và DMZ là được.

Tạo Networks

Trước tiên, chúng ta sẽ cần tạo 3 Network cho LAN User, Server và IPWAN để add vào policy.

Các bạn vào menu Objects > Networks, nhấn dấu + để tạo mới.

Trước tiên mình sẽ tạo Network cho LAN User, dải mạng là 192.168.0.0/24.

Tương tự các bạn tạo Networks cho Server và IP WAN. Với Server và IP WAN thì các bạn chọn type là Host và nhập IP vào là được.

Cấu hình Hairpin NAT Rule

Tiếp theo chúng ta sẽ cấu hình NAT rule cho Hairpin NAT.

Các bạn vào menu Policies, chuyển sang tab NAT, nhấn dấu + để tạo NAT rule mới.

Nhập các thông số cấu hình cho Hairpin NAT:

• Create Rule for: chọn Manual NAT.
• Placement: chọn Before Auto NAT Rules.
• Type: chọn Static.
• Trong phần Original Packet:
  • Source Interface: các bạn chọn cổng kết nối tới LAN User, trong ví dụ của mình là cổng inside.
  • Source Address: chọn Network LAN-User mà các bạn đã tạo cho LAN User.
  • Destination Address: chọn Network WAN-IP đã tạo cho IP WAN.
• Trong phần Translated Packet:
  • Destination Interface: các bạn chọn cổng kết nối xuống Server. Trường hợp của mình thì Server và LAN User cùng chung cổng Inside.
  • Source Address: chọn Interface.
  • Destination Address: chọn Network đã tạo cho Server.
• Nhấn OK để tạo.

Cấu hình Firewall Policy

Tiếp theo chúng ta sẽ tạo policy để cho phép giữa dải LAN User và Server.

Các bạn chuyển sang tab Access Control, nhấn dấu + để tạo thêm Policy.

Thiết lập các thông số cho Access Control Policy:

• Action: thì để mặc định là Allow.
• Source Networks: các bạn chọn Network đã tạo cho LAN User.
• Destination Network chọn Server.
• Ngoài ra thì còn nhiều thông số khác như Port dịch vụ, User… các bạn có thể cấu hình thêm nếu chỉ muốn cho phép 1 số dịch vụ mà các bạn đang NAT. Mình sẽ để mặc định là ANY.
• Nếu các bạn có các chính sách tương tự  nhau, thì các bạn sẽ cần chuyển policy này lên trên. Về cơ bản với Access List hay Policy đều vậy, chúng ta sẽ cần đặt những policy chi tiết lên trên cùng, còn những policy rộng hơn sẽ được đặt bên dưới. Các bạn chỉ cần nhấn giữ chuột vào policy rồi kéo thả vào vị trí mong muốn thôi.

Sau khi hoàn tất thì các bạn nhấn Deploy để triển khai cấu hình xuống firewall.

Như vậy là xong.

Kiểm tra

Firewall FTD hỗ trợ khá nhiều câu lệnh debug để chúng ta có thể theo dõi được hoạt động của Hairpin NAT. Tuy nhiên thì chúng ta chỉ nên dùng trong trường hợp NAT rule không hoạt động thôi. Còn sau khi cấu hình xong, các bạn chỉ cần sử dụng máy tính nội bộ truy cập thử vào dịch vụ nội bộ qua IP WAN là được. Với camera thì các bạn có thể add camera vào phần mềm bằng IP WAN.

Kết luận

Hairpin NAT là 1 kỹ thuật NAT khá hữu dụng khi các bạn có các dịch vụ nội bộ bên trong mạng LAN và muốn NAT ra ngoài Internet. Khi đó toàn bộ người dùng trong mạng LAN, và người dùng Internet có thể truy cập vào dịch vụ thông qua 1 IP WAN duy nhất. Các bạn có thể sử dụng cho các hệ thống website, camera, SQL, hoặc NAS server để cung cấp dịch vụ cho người dùng.

Chúc các bạn thành công!