1. Mục đích bài viết
- Trong việc quản trị hệ thống mạng việc cần nat một server ra ngoài internet là điều thiết yếu cho việc quản trị từ xa.
- Nhưng bạn làm sao có thể nat được các thiết bị ra ngoài internet khi chúng đều xài một port truy cập quản trị giống nhau.
- Trong bài viết này thegioifirewall sẽ hướng dẫn các bạn cách cấu hình Nat đổi port để chúng ta có thể thực hiện nat các server ra ngoài internet cho dù chúng có chung một port quản trị.
2. Sơ đồ mạng, tình huống cấu hình và các bước cần thực hiện
2.1 Sơ đồ mạng
2.2 Giải thích sơ đồ mạng
- Như sơ đồ thiết bị tường lửa Palo Alto sẽ được kết nối internet bằng giao thức PPPoE ở port E1/1 với IP tĩnh là 115.78.x.x
- Bên trong của Palo Alto là lớp mạng nội bộ LAN với địa chỉ IP tĩnh là 172.16.31.10/24 được đặt ở port E1/5. Trên port E1/5 được cấu hình DHCP Server để cấp phát IP cho các thiết bị kết nối đến nó.
- Tiếp theo là 1 Vmware Exsi Server được đặt trong lớp mạng LAN với địa chỉ IP là 172.16.31.10/24 và Vmware Exsi Server này được quản trị bằng web với giao thức https.
- Cuối cùng là máy tính bên ngoài internet, máy tính này có thể nằm ở bất kì đâu trong mạng internet.
2.3 Tình huống cấu hình
- Như các bạn đã thấy cả trang quản trị tường lửa Palo Alto và máy chủ VMware Esxi đều sử dụng port 443 để truy cập.
- Do đó nếu chúng ta thực hiện NAT 1:1 thì chúng ta sẽ chỉ nat được 1 trong 2 thiết bị ra ngoài internet.
- Vì vậy trong bài viết này thegioifirewall sẽ thực hiện nat server vmware esxi ra ngoài internet bằng port 442 để người quản trị có thể truy cập được trang quản trị của cả 2 thiết bị.
2.4 Các bước cần thực hiện
- Tạo Address Objects
- Tạo Service Objects
- Tạo NAT Rule
- Tạo Security policy
- Kiểm tra kết quả
3. Hướng dẫn cấu hình
3.1 Tạo Address Objects
- Chúng ta sẽ tạo 2 address objects là Server-public với địa chỉ ip là địa chỉ cổng WAN của thiết bị Palo Alto 14.169.x.x và webserver-private là địa chỉ ip của Web server bên trong.
- Để tạo vào Objects > Addresses > click Add và nhập thông số sau :
- Name : Server-public
- Type : IP Netmask – 115.78.x.x
- Click OK để lưu
- Click Add 1 lần nửa để tạo address object cho web server :
- Name : webserver-private
- Type : IP Netmask – 172.16.31.10
- Click OK để lưu
3.2 Tạo Service Objects
- Chúng ta cần tạo service objects cho port 442, để tạo vào Objects > Services.
- Nhấn Add vào tạo theo các thông số sau:
- Name: Port_442
- Protocol: TCP
- Destination Port: 442
- Nhấn OK để lưu.
3.3 Tạo NAT Rule
- Để tạo NAT rule vào Policies > NAT > Click Add.
- Ở General tab cấu hình với các thông số sau :
- Name : NAT_Server
- Type : ipv4
- Ở tab Original Packet cấu hình với các thông số sau :
- Source Zone : WAN
- Destination Zone : WAN
- Destination Interface : ethernet1/1
- Service : Port_442
- Source Address : Any
- Destination Address : Server-public
- Ở tab Translated Packet mục Destination Translation cấu hình như sau :
- Translation Type : Static IP
- Translation Address : webserver-private
- Translation Port : 443
Click OK để lưu.
3.3 Tạo Security policy
- Tạo Secuirty policy để cho phép các traffic từ vùng WAN có thể đi vào vùng LAN.
- Để tạo vào Policies > Security > Click Add.
- Ở General tab cấu hình với các thông số sau :
- Name : Webserver access
- Rule Type : universal (default)
- Source tab :
- Source Zone : WAN
- Source Address : Any
- Destination tab :
- Destination Zone : LAN
- Destination Address : Server-public
- Application tab :
- Chọn Any
- Service/URL Category :
- Chọn service Port_442 và Any
- Action :
- Log Setting : chọn Log at Session End
- Action Setting : Allow
3.4 Kiểm tra kết quả
- Sau khi cấu hình các policy cần thiết chúng ta sẽ sử dụng một máy tính bên ngoài internet để truy cập vào trong server nội bộ bằng IP Wan với port 442 và kết quả như hình sau.
- Chúng ta đã có thể truy cập server thành công bằng port 442 từ internet.
- Ngoài ra chúng ta cũng có thể truy cập vào trang quản trị của firewall bằng port 443 như bình thường.
