1.Mục đích bài viết
Trong việc quản trị hệ thống việc cấu hình cần nat một server ra ngoài internet là điều thiết yếu cho việc quản trị từ xa.
Nhưng bạn làm sao có thể nat được các thiết bị ra ngoài internet khi chúng có cùng port truy cập quản trị giống nhau hoặc vì lý do bảo mật chúng ta cần đổi port truy cập từ bên ngoài của các dịch vụ như SSH, Remote Desktop,… .
Trong bài viết này thegioifirewall sẽ hướng dẫn các bạn cách cấu hình NAT đổi port để chúng ta có thể thực hiện nat các server ra ngoài internet khi gặp trường hợp như trên.
2.Sơ đồ mạng
Chi tiết sơ đồ mạng:
- Đường truyền internet được kết nối tại Port 2 với IP tĩnh là 10.150.30.106.
- Mạng LAN được cấu hình tại Port 1 với IP 172.16.16.16/24 và đã cấu hình DHCP.
- Cuối cùng là một máy chủ chạy Windows Server 2016 được kết nối vào mạng LAN của Sophos Firewall và có IP tĩnh là 172.16.16.10.
3.Tình huống cấu hình
Như các bạn đã thấy port của dịch vụ remote desktop quá thông dụng và rất dễ bị hacker tấn công.
Vì vậy trong bài viết này thegioifirewall sẽ thực hiện nat đổi port dịch vụ remote desktop của máy chủ ra ngoài internet bằng port 3390 để bảo đảm tính bảo mật.
4.Các bước cấu hình
- Tạo profile cho máy chủ.
- Tạo profile cho service 3389 và 3390.
- Tạo NAT policy.
- Tạo Firewall rule.
- Kiểm tra kết quả.
5.Hướng dẫn cấu hình
5.1.Tạo profile cho máy chủ.
Để tạo vào SYSTEM > Hosts and services > nhấn Add.
Tạo với các thông tin sau:
- Name *: Windows_Server.
- IP version *: IPv4.
- Type *: IP.
- IP address *: 172.16.16.10.
- Nhấn Save.
5.2. Tạo profile cho service 3389 và 3390.
Để tạo vào SYSTEM > Hosts and services > Services > nhấn Add.
Tạo profile cho service 3389 với các thông số sau:
- Name *: Remote Desktop_1
- Type *: TCP/UDP.
- Protocol: TCP.
- Source port: 1:65535.
- Destination port: 3389.
- Nhấn Save.
Tương tự tạo profile cho service 3390 với các thông số sau.
- Name *: Remote Desktop_2
- Type *: TCP/UDP.
- Protocol: TCP.
- Source port: 1:65535.
- Destination port: 3390.
- Nhấn Save.
5.3.Tạo NAT policy.
Để tạo vào PROTECT > Rules and policies > NAT rules > Add NAT rule > New NAT rule.
Tạo NAT policy với các thông số sau:
- Rule status: ON.
- Rule name *: NAT_Remote_Desktop.
- Rule position: Top.
- Original source *: Any.
- Original destination *: #Port2 (port wan).
- Original service *: chọn Remote_Desktop_2.
- Translated source (SNAT): Original.
- Translated destination (DNAT): chọn Windows_Server.
- Translated service (PAT): chọn Remote_Desktop_1.
- Inbound interface *: chọn #Port2.
- Outbound interface *: Any.
- Nhấn Save để lưu.
5.4.Tạo Firewall rule.
Mặc địch tường lửa sẽ khóa các traffic từ ngoài internet đi vào trong mạng LAN.
Vì vậy để NAT policy có thể hoạt động chúng ta cần tạo một firewall cho phép các traffic với service này.
Để tạo vào PROTECT > Rules and policies > Add firewall rule > New firewall rule.
Tạo với các thông số sau theo hình sau.
Nhấn Save để lưu.
5.5.Kiểm tra kết quả.
Để kiểm tra kết quả thegioifirwall sẽ sử dụng một máy tính bên ngoài internet để remote desktop vào máy chủ trong mạng LAN với port 3390.
Để truy cập server bật ứng dụng Remote Desktop Connection và nhập 10.150.30.106:3390 (IP WAN:3390).
Nhập tài khoản và mật khẩu của máy chủ.
Nhấn Yes khi được hỏi về certificate.
Cửa sổ truy cập vào máy chủ đã hiện ra, như vậy là chúng ta đã thực hiện nat đổi port thành công để người dùng ngoài internet có thể truy cập vào máy chủ bằng port 3390.