Hướng dẫn cấu hình Port Forwarding, NAT Port trên Fortigate with Virtual IPs

Trong bài viết này mình sẽ hướng dẫn các bạn cấu hình mở port trên tường lửa Fortigate (hay còn gọi là NAT port hoặc Port Forwarding) bằng Virtual IPs. Trong mô hình chúng ta sử dụng chính IP đấu nối để NAT, trong trường hợp sử dụng IP không phải IP đấu nối thì chúng ta sẽ sử dụng IP Pools, Nmình sẽ hướng dẫn các bạn trong bài viết khác

mô hình port forwarding fortigate

Trong mô hình này mình sử dụng server có địa chỉ IP local là 192.168.100.1, ip wan là 172.20.121.143 với 3 dịch vụ cần mở port là http (port 80), ftp (port 21) và ssh (port 22). Khi người dùng từ ngoài internet truy cập vào dịch vụ sẽ truy cập bằng cách http://ip_wan:port. Các bạn có thể làm tương tự để mở port cho camera, SQL, App, .... trên tường lửa Fortigate.

Các bước thực hiện

  • Bước 1: Tạo virtual IP để map port giữa IP nội bộ và IP wan
  • Bước 2: Tạo Policy và gán các virtual IP vào policy cho phép bên ngoài truy cập vào dịch vụ
  • Bước 3: Kiểm tra kết nối bằng cách từ ngoài truy cập vào địa chỉ ip_wan:port

Bước 1: Tạo Virtual IP

Truy cập vào Policy & Objects > Virtual IPs, chọn Create New

tạo 3 virtual ip

Trong đó:

  • Name: tên của virtual IP
  • Comments: ghi chú lại kiểu như chúng ta sử dụng virtual ip này để làm gì
  • Interface: chọn cổng sẽ sử dụng để NAT port, cổng này là cổng đấu nối ra internet
  • External IP Address/Range: địa chỉ IP wan
  • Mapped IP Address/Range: địa chỉ IP nội bộ cần NAT ra ngoài
  • Tích enable Port Forwarding
  • Protocol: chọn protocol tương ứng với port
  • External Service Port: port mà người dùng bên ngoài sử dụng để truy cập dịch vụ, port này có thể giống hoặc khác port nội bộ
  • Map to Port: Port sử dụng trong local

Tạo Virtual IP cho dịch vụ web http với port 80

tạo nat port 80 cho dịch vụ http

Tạo virtual IP cho dịch vụ FTP với port 21

mở port 21 cho dịch vụ FTP trên firewall Fortigate

Tạo virtual IP cho dịch vụ SSH với port 22

Mở port 22 cho dịch vụ ssh trên tường lửa fortigate

Tạo 1 Virtual IP Group để nhóm 3 virtual IP lại, chọn Create New > Virtual IP Group

  • Name: tên Group
  • Interface: chọn cổng đấu nối ra internet
  • Members: nhấn dấu + và chọn các virtual IP vừa tạo ở trên

tạo 1 virtual ip group

Sau khi tạo xong chúng ta vào Virtual IPs để kiểm tra lại cấu hình

kiểm tra cấu hình virtual ip

Bước 2: Mở Policy cho phép bên ngoài truy cập vào dịch vụ

Truy cập Policy & Objects > IPv4 Policy, chọn Create New

Trong đó:

  • Name: Tên của policy
  • Incoming Interface: bên ngoài truy cập vào nên cổng này sẽ là cổng wan
  • Outgoing Interface: chọn cổng đấu nối xuống server, camera có IP nội bộ cần NAT
  • Source: chọn all
  • Destination: chọn Virtual IP Group vừa tạo, nếu không tạo group có thể chọn từng dịch vụ
  • Schedule: thời gian policy có hiệu lực, chọn always để policy luôn có hiệu lực
  • Service: chọn các dịch vụ cầm NAT, có thể chọn all hoặc chọn dịch vụ tương ứng chúng ta đang NAT, Fortigate có tạo sẵn các dịch vụ phổ biến. Nếu chưa có các bạn có thể tạo thêm trong phần Policy & Objects > Services, chọn Create New
  • Action: chọn ACCEPT
  • NAT: tắt nat đi để Firewall sử dụng Virtual IP

tạo policy cho phép bên ngoài truy cập vào dịch vụ thông qua virtual IP
Vậy là chúng ta đã cấu hình xong firewall Fortigate để mở port 80, 21, 22 cho các dịch vụ http, FTP, SSH. Để kiểm tra chúng ta sử dụng 1 mạng khác và truy cập vào địa chỉ 172.20.121.143:80.

Chúc các bạn thành công!

>> Các bạn có thể xem thêm các bài viết hướng dẫn cấu hình Firewall Fortigate tại đây

>> Để biết chi tiết thông số kỹ thuật của Firewall Fortigate, vui lòng xem Firewall Fortigate

>> Để nhận báo giá tốt nhất các sản phẩm Firewall Fortigate, vui lòng liên hệ hotline 0906 051 599

Thanh toán online

CNTTShop.vn là đối tác của Cisco Systems Vietnam Ltd
Copyright @ 2017-2019 CNTTShop Ltd. | Viet Thai Duong Technologies Co., Ltd | All Rights Reserved.