Hướng dẫn cấu hình IP Pools trên Firewall Fortigate

Trong bài viết này, mình sẽ hướng dẫn các bạn cấu hình NAT 1 địa chỉ IP hoặc 1 dải địa chỉ IP nội bộ qua 1 IP public không phải là IP đấu nối bằng tính năng IP Pools trên firewall Fortigate.

Mô tả mô hình

Trong thực tế thì chúng ta sẽ gặp nhiều trường hợp mà chúng ta cần phải NAT các địa chỉ IP nội bộ thông qua 1 IP khác với IP được cấu hình trên cổng WAN, ví dụ như chúng ta có các server mail, web… Trong trường hợp này thì các bạn sẽ cần mua nhiều hơn 1 IP WAN, 1 hoặc 1 số IP WAN sẽ được cấu hình trên cổng vật lý nối với ISP, còn các IP còn lại sẽ được chúng ta sử dụng vào mục đích khác, trong đó có NAT.

Ví dụ như trong mô hình của mình, thì mình đang có dải IP public là từ 100.0.0.90 cho đến 100.0.0.100. Địa chỉ IP 100.0.0.100 được cấu hình trên port1 của Fortigate.

Yêu cầu đặt ra sẽ là mạng LAN bên dưới truy cập ra Internet thì sẽ được NAT qua IP đấu nối là 100.0.0.100. Riêng Server có IP 192.168.0.2 sẽ được NAT qua 1 IP khác là 100.0.0.99.

Cấu hình IP Pools trên Fortigate

Trước tiên các bạn cần tạo các Address cho từng server hoặc cho 1 dải IP cụ thể mà chúng ta muốn sử dụng cho NAT. Truy cập menu Policy & Object > Addresses, chọn Create New để tạo. Trong ví dụ của mình thì mình sẽ tạo 1 Address cho server 192.168.0.2/32.

Sau đó các bạn vào menu Policy & Objects > IP Pools, chọn Create New để tạo 1 Pool mới cho IP NAT.

• Name: Đặt tên cho IP Pool, các bạn có thể đặt sao cho deẽ hiểu là được.
• Type: chọn Overload nếu các bạn đang sử dụng Port Address Translation. Đây cũng là tùy chọn mặc định. Nếu các bạn muốn sử dụng nhiều địa chỉ IP Public để sử dụng đồng thời thì có thể sử dụng Fixed port range và nhập range IP vào.
• External IP address/range: Nhập địa chỉ IP Public muốn sử dụng cho NAT

Tiếp theo chúng ta cần tạo Policy để áp dụng chính sách NAT này cho server 192.168.0.2

• Name: đặt tên cho Policy
• Incoming Interface: chọn cổng LAN kết nối với server
• Outgoing Interface: chọn cổng WAN.
• Source: chọn Address mà các bạn đã tạo cho server ở bước trên.
• Các mục Destination, Schedule, Service chọn All hoặc các bạn có thể chọn tùy theo chính sách áp dụng.
• NAT: chọn Use Dynamic IP Pool và chọn Pool mà chúng ta đã tạo cho IP public.
• Logging Options: các bạn có thể chọn All Session để Firewall lưu lại toàn bộ log traffic, bao gồm cả các log ping, truy cập internet thông thường. Nếu các bạn chỉ để mặc định là Security Events thì chỉ những traffic nào vi phạm, bị block, hoặc có chứa mã độc (nếu có license UTM) thì mới được ghi lại log. Tuy nhiên log trên các thiết bị thông thường sẽ lưu trên bộ nhớ RAM, nên các bạn cũng cần lưu ý khi bật log, tránh bị full RAM.

Sau khi tạo policy xong các bạn phải đảm bảo các policy chi tiết thì sẽ được đặt phía trên nhé, do policy sẽ check từ trên xuống. Nếu policy các bạn vừa tạo ở phía sau các policy chung như Internet access thì các bạn cần thay đổi thứ tự cho các policy này. Để thay đổi thứ tự thì các bạn để chuột vào phía bên trái của policy, khi nó hiển thị mũi tên 4 chiều là chúng ta có thể nhấn chuột trái và di chuyển lên xuống.

Kiểm tra

Để kiểm tra bảng NAT trên Fortigate thì các bạn có thể sử dụng lệnh get system session list trong CLI của thiết bị. Các bạn có thể thấy Server 192.168.0.2 đã được NAT qua IP 100.0.0.99, còn các traffic khác thì vẫn được NAT qua IP đấu nối 100.0.0.100.

Nếu các bạn đã bật log All session thì các bạn có thể vào menu Log & Report > Forward Traffic. Tại đây các bạn có thể kiểm tra chi tiết traffic của chúng ta.

Đây chỉ là ví dụ về 1 trường hợp sử dụng IP Pool thôi, trong thực tế thì tùy nhu cầu của chúng ta mà các tùy chọn khi cấu hình chúng ta cần thay đổi cho phù hợp, để có thể cấu hình thành công mọi trường hợp thì các bạn cần nắm vững các kiến thức về các loại NAT để chọn loại phù hợp với yêu cầu của mình.

Ok Như vậy là mình đã hướng dẫn bạn cấu hình tính năng IP Pools trên firewall Fortigate. Nếu các bạn gặp khó khăn gì có thể comment bên dưới bài viết để mọi người cùng khắc phục nhé.

Chúc các bạn thành công!