1.Mục đích bài viết
Trong bài viết này thegioifirewall sẽ hướng dẫn cách thực hiện NAT một dịch vụ của server ra ngoài internet trong hệ thống có 2 thiết bị firewall lớp trong và lớp ngoài.
2.Diagram
Chi tiết sơ đồ mạng:
External Firewall.
- Đường truyền internet PPPoE được cấu hình tại cổng ethernet1/1 với IP tĩnh là 10.150.30.120.
- Mạng LAN được cấu hình tại cổng ethernet1/2 có IP 10.145.41.1/24 và đã cấu hình DHCP.
Internal Firewall:
- Cổng ethernet1/1 trên Internal Firewall là cổng WAN và sẽ kết nối với cổng ethernet1/2 của External Firewall.
- Cổng ethernet1/1 của Internal Firewall có IP tĩnh là 10.145.41.50/24 và trỏ gateway về IP 10.145.41.1/24.
- Mạng LAN của Internal Firwall được cấu hình tại cổng ethernet1/2 với IP 10.0.0.1/24 và đã cấu hình DHCP.
- Cuối cùng là 1 máy chủ Windows Server có IP 10.0.0.52/24 đang chạy phần mềm ManageEngine Event Log và trang quản trị của phần mềm này sử dụng port 8400 để truy cập.
Ngoài internet:
- Thegioifirewall chuẩn bị 1 máy tính chạy Windows ngoài môi trường internet được dùng để kiểm tra kết quả NAT sau khi cấu hình.
3.Tình huống cấu hình
Thegioifirewall sẽ thực hiện cấu hình NAT port trên hai thiết bị tường lửa Palo Alto để người quản trị có thể truy cập được trang quản trị của phần mềm ManageEngine Event Log sử dụng port 8400 từ ngoài internet.
4.Các bước cấu hình
External Firewall:
- Tạo service objects cho port 8400
- Tạo NAT policy.
- Tạo Security Policy.
Internal Firewall:
- Tạo NAT policy.
- Tạo Security Policy.
Kiểm tra kết quả.
5.Hướng dẫn cấu hình
5.1.External Firewall
5.1.1.Tạo service objects cho port 8400
Để tạo vào Objects > Services > nhấn Add.
Tạo với các thông số sau:
- Name: ManageEngine_Event_Log.
- Protocol: TCP.
- Destination Port: 8400.
5.1.2.Tạo NAT policy.
Chúng ta sẽ thực hiện tạo 1 NAT policy để NAT IP WAN của internal firewall là 10.145.41.50 cùng dịch vụ ManageEngine Event Log vừa tạo ra ngoài internet.
Để tạo NAT policy vào Policies > NAT > nhấn Add.
Tạo với các thông số sau.
Tab General:
- Name: NAT_ManageEngine_Event_Log_service.
- NAT Type: ipv4.
Tab Original Packet:
- Source Zone: WAN.
- Destination Zone: WAN.
- Destination Interface: ethernet1/1.
- Service: Chọn service objects ManageEngine_Event_Log.
- Destination Address: nhập IP WAN của external firewall là 10.150.30.120.
Tab Translated Packet:
- Translation Type: chọn Static IP.
- Translated Address: nhập IP WAN của internal firewall là 10.145.41.50.
- Translated Port: nhập port 8400.
- Nhấn OK để lưu.
Nhấn Commit và OK để lưu các thay đổi cấu hình.
5.1.3.Tạo Security Policy
Mặc định tường lửa sẽ chặn các traffic từ ngoài internet đi vào trong mạng nội bộ.
Nên nếu chúng ta muốn NAT policy vừa tạo hoạt động chúng ta cần phải 1 security policy cho phép.
Để tạo vào Policies > Security > Nhấn Add.
Tạo với các thông số sau.
Tab General:
- Name: Allow_NAT_ManageEngine_Event_Log_policy.
- Rule type: universal (default).
Tab Source:
- Source Zone: WAN.
Tab Destination:
- Destination Zone: LAN.
- Destination Address: nhập IP WAN của External Firewall là 10.150.30.120.
Tab Service/URL Category:
- Tại Service nhấn Add và chọn service Objects ManageEngine_Event_Log.
Tab Actions:
- Action: chọn Allow.
- Log Setting: chọn Log at Session End.
- Nhấn OK để lưu.
Nhấn Commit và OK để lưu các thay đổi cấu hình.
5.2.Internal Firewall
5.2.1.Tạo service objects cho port 8400
Để tạo vào Objects > Services > nhấn Add.
Tạo với các thông số sau:
- Name: ManageEngine_Event_Log.
- Protocol: TCP.
- Destination Port: 8400.
5.2.2.Tạo NAT policy.
Chúng ta sẽ thực hiện tạo 1 NAT policy để NAT IP của máy chủ ManageEngine Event Log là 10.0.0.52 cùng dịch vụ ManageEngine Event Log vừa tạo đến external firewall.
Để tạo NAT policy vào Policies > NAT > nhấn Add.
Tạo với các thông số sau.
Tab General:
- Name: NAT_ManageEngine_Event_Log_service.
- NAT Type: ipv4.
Tab Original Packet:
- Source Zone: WAN.
- Destination Zone: WAN.
- Destination Interface: ethernet1/1.
- Service: Chọn service objects ManageEngine_Event_Log.
- Destination Address: nhập IP WAN của internal firewall là 10.145.41.50.
Tab Translated Packet:
- Translation Type: chọn Static IP.
- Translated Address: nhập IP của máy chủ là 10.0.0.52.
- Translated Port: nhập port 8400.
- Nhấn OK để lưu.
Nhấn Commit và OK để lưu các thay đổi cấu hình.
5.2.3.Tạo Security Policy
Mặc định tường lửa sẽ chặn các traffic từ ngoài internet đi vào trong mạng nội bộ.
Nên nếu chúng ta muốn NAT policy vừa tạo hoạt động chúng ta cần phải 1 security policy cho phép.
Để tạo vào Policies > Security > Nhấn Add.
Tạo với các thông số sau.
Tab General:
- Name: Allow_NAT_ManageEngine_Event_Log_policy.
- Rule type: universal (default).
Tab Source:
- Source Zone: WAN.
Tab Destination:
- Destination Zone: LAN.
- Destination Address: nhập IP WAN của Internal Firewall là 10.145.41.50.
Tab Service/URL Category:
- Tại Service nhấn Add và chọn service Objects ManageEngine_Event_Log.
Tab Actions:
- Action: chọn Allow.
- Log Setting: chọn Log at Session End.
- Nhấn OK để lưu.
5.3.Kiểm tra kết quả
Thegioifirewall sẽ sử dụng máy tính ngoài mội trường internet đã chuẩn bị để kiểm tra.
Bật một trình duyệt web bất kì và truy cập vào trang quản trị của ManageEngine Event Log bằng IP WAN của External Firewall và port 8400.
Kết quả là việc truy cập thành công.
Như vậy là thegioifirewall đã hướng dẫn các bạn cách NAT một dịch vụ của server trong nội bộ ra ngoài internet với mô hình firewall 2 lớp là external và internal firewall.