Logo CNTTShop.vn

Hotline: 0966 658 525

Hà Nội: NTT03, Line 1, Thống Nhất Complex, 82 Nguyễn Tuân, Thanh Xuân, Hà Nội. ● HCM: Số 31B, Đường 1, Phường An Phú, Quận 2 (Thủ Đức), TP HCM. ===> Đơn Vị Hàng Đầu Trong Lĩnh Vực Cung Cấp Thiết Bị Security - Network - Wifi - CCTV - Conference - Máy chủ Server - Lưu trữ Storge.
Thiết bị mạng: 0862 158 859 - 0966 658 525 Máy chủ Server: 0866 176 188 - 0968 498 887 Purchase: 096 350 6565
Danh mục sản phẩm

Hướng dẫn cấu hình IP Pools trên Firewall Fortigate

 

Trong bài viết này, mình sẽ hướng dẫn các bạn cấu hình NAT 1 địa chỉ IP hoặc 1 dải địa chỉ IP nội bộ qua 1 IP public không phải là IP đấu nối bằng tính năng IP Pools trên firewall Fortigate.

Mô tả mô hình

Trong thực tế thì chúng ta sẽ gặp nhiều trường hợp mà chúng ta cần phải NAT các địa chỉ IP nội bộ thông qua 1 IP khác với IP được cấu hình trên cổng WAN, ví dụ như chúng ta có các server mail, web… Trong trường hợp này thì các bạn sẽ cần mua nhiều hơn 1 IP WAN, 1 hoặc 1 số IP WAN sẽ được cấu hình trên cổng vật lý nối với ISP, còn các IP còn lại sẽ được chúng ta sử dụng vào mục đích khác, trong đó có NAT.

mô hình kết nối

Ví dụ như trong mô hình của mình, thì mình đang có dải IP public là từ 100.0.0.90 cho đến 100.0.0.100. Địa chỉ IP 100.0.0.100 được cấu hình trên port1 của Fortigate.

Yêu cầu đặt ra sẽ là mạng LAN bên dưới truy cập ra Internet thì sẽ được NAT qua IP đấu nối là 100.0.0.100. Riêng Server có IP 192.168.0.2 sẽ được NAT qua 1 IP khác là 100.0.0.99.

Cấu hình IP Pools trên Fortigate

Trước tiên các bạn cần tạo các Address cho từng server hoặc cho 1 dải IP cụ thể mà chúng ta muốn sử dụng cho NAT. Truy cập menu Policy & Object > Addresses, chọn Create New để tạo. Trong ví dụ của mình thì mình sẽ tạo 1 Address cho server 192.168.0.2/32.

Create address for server 192.168.0.2

Sau đó các bạn vào menu Policy & Objects > IP Pools, chọn Create New để tạo 1 Pool mới cho IP NAT.

  • Name: Đặt tên cho IP Pool, các bạn có thể đặt sao cho deẽ hiểu là được.
  • Type: chọn Overload nếu các bạn đang sử dụng Port Address Translation. Đây cũng là tùy chọn mặc định. Nếu các bạn muốn sử dụng nhiều địa chỉ IP Public để sử dụng đồng thời thì có thể sử dụng Fixed port range và nhập range IP vào.
  • External IP address/range: Nhập địa chỉ IP Public muốn sử dụng cho NAT

tạo 1 IP pool cho IP NAT

Tiếp theo chúng ta cần tạo Policy để áp dụng chính sách NAT này cho server 192.168.0.2

  • Name: đặt tên cho Policy
  • Incoming Interface: chọn cổng LAN kết nối với server
  • Outgoing Interface: chọn cổng WAN.
  • Source: chọn Address mà các bạn đã tạo cho server ở bước trên.
  • Các mục Destination, Schedule, Service chọn All hoặc các bạn có thể chọn tùy theo chính sách áp dụng.
  • NAT: chọn Use Dynamic IP Pool và chọn Pool mà chúng ta đã tạo cho IP public.
  • Logging Options: các bạn có thể chọn All Session để Firewall lưu lại toàn bộ log traffic, bao gồm cả các log ping, truy cập internet thông thường. Nếu các bạn chỉ để mặc định là Security Events thì chỉ những traffic nào vi phạm, bị block, hoặc có chứa mã độc (nếu có license UTM) thì mới được ghi lại log. Tuy nhiên log trên các thiết bị thông thường sẽ lưu trên bộ nhớ RAM, nên các bạn cũng cần lưu ý khi bật log, tránh bị full RAM.

create policy cho traffic NAT

Sau khi tạo policy xong các bạn phải đảm bảo các policy chi tiết thì sẽ được đặt phía trên nhé, do policy sẽ check từ trên xuống. Nếu policy các bạn vừa tạo ở phía sau các policy chung như Internet access thì các bạn cần thay đổi thứ tự cho các policy này. Để thay đổi thứ tự thì các bạn để chuột vào phía bên trái của policy, khi nó hiển thị mũi tên 4 chiều là chúng ta có thể nhấn chuột trái và di chuyển lên xuống.

Thay đổi thứ tự policy

Kiểm tra

Để kiểm tra bảng NAT trên Fortigate thì các bạn có thể sử dụng lệnh get system session list trong CLI của thiết bị. Các bạn có thể thấy Server 192.168.0.2 đã được NAT qua IP 100.0.0.99, còn các traffic khác thì vẫn được NAT qua IP đấu nối 100.0.0.100.

get system session list fortigate

Nếu các bạn đã bật log All session thì các bạn có thể vào menu Log & Report > Forward Traffic. Tại đây các bạn có thể kiểm tra chi tiết traffic của chúng ta.

log của traffic NAT

Đây chỉ là ví dụ về 1 trường hợp sử dụng IP Pool thôi, trong thực tế thì tùy nhu cầu của chúng ta mà các tùy chọn khi cấu hình chúng ta cần thay đổi cho phù hợp, để có thể cấu hình thành công mọi trường hợp thì các bạn cần nắm vững các kiến thức về các loại NAT để chọn loại phù hợp với yêu cầu của mình.

Ok Như vậy là mình đã hướng dẫn bạn cấu hình tính năng IP Pools trên firewall Fortigate. Nếu các bạn gặp khó khăn gì có thể comment bên dưới bài viết để mọi người cùng khắc phục nhé.

Chúc các bạn thành công!

Lê Văn Tuấn

Là chuyên gia trong lĩnh vực Network System, Security, Server.. Có kinh nghiệm nhiều năm tư vấn giải pháp mạng, triển khai các giải pháp CNTT và phân phối thiết bị mạng Switch, Wifi, Router, Máy chủ Server, Lưu trữ Storage, Tường lửa Firewall, Video Conferencing, Module quang, Load Balancing. Hiện tại tôi là Founder và Managing Director công ty TNHH Công Nghệ Việt Thái Dương (CNTTShop.vn).

Bình luận bài viết!

Có 1 bình luận:
V
Mr Viet
cho mình hỏi chút: mình sử dụng đường leasedline của viettel: nhà mạng chỉ cung cấp địa chỉ IP public, subnetmask, ip gateway... thì để cấu hình ra internet thì cấu hình ở đâu trên con 200E nhỉ. Mình cấu hình theo hướng dẫn Manual nó chỉ có IP/ subnet... nhưng với địa chỉ IP nội bộ có internet thì được.... còn IP public không được
11 tháng
C
CNTTShopAdmin

Bạn cần cấu hình thêm default route và policy cho mạng rội bộ truy cập internet

Chuyên mục chính
Bài viết cùng danh mục
Sản phẩm liên quan