Overview
Bài viết hướng dẫn cách cấu hình DNAT 2 lớp với 2 thiết bị Sophos XGS, 1 thiết bị bên ngoài bảo vệ toàn bộ hệ thống nội bộ và 1 thiết bị bên trong bảo vệ cho hệ thống server ở lớp DMZ
Các bước cấu hình
- DNAT cho firewall trong để public web server ra ngoài
- DNAT cho firewall ngoài để public web server ra ngoài
- Kiểm tra truy cập tới trang web
Hướng dẫn cấu hình
Firewall 2
- Đăng nhập Sophos XGS bằng tài khoản Admin
- Đi đến mục SYSTEM -> Chọn mục Hosts and services -> Chọn mục IP host -> Nhấn Add
- Nhập tên
- Ở mục IP version: Chọn IPv4
- Ở mục Type: Chọn IP
- Ở mục IP Address: Nhập 10.10.10.150
-> Nhấn Save
![Không có mô tả.](https://scontent.fsgn13-2.fna.fbcdn.net/v/t1.15752-9/242179836_4473467316081052_5702721309473107536_n.png?_nc_cat=106&ccb=1-5&_nc_sid=ae9488&_nc_ohc=5PZv1qzLMmgAX_EuJql&tn=OFkDi1MEi3JzOt8S&_nc_ht=scontent.fsgn13-2.fna&oh=0c95f0916acc13b526cea4f4d2db4a12&oe=6169F395)
- Đi đến mục Rules and policies -> Chọn mục NAT rules -> Nhấn Add NAT rule -> Chọn Server access assistant (DNAT)
- Ở mục Internal server IP address: Chọn host web server đã tạo trước đó
![Không có mô tả.](https://scontent.fsgn4-1.fna.fbcdn.net/v/t1.15752-9/242201254_1145979905925098_5037578069928276439_n.png?_nc_cat=103&ccb=1-5&_nc_sid=ae9488&_nc_ohc=G3O0HxyD5bsAX9jHDid&_nc_ht=scontent.fsgn4-1.fna&oh=02e3fcb03fd376c85033f54fdc1bb9f9&oe=6169F39F)
- Ở mục Public IP address: Chọn cổng WAN mà bạn muốn NAT
![Không có mô tả.](https://scontent.fsgn8-2.fna.fbcdn.net/v/t1.15752-9/241983018_386342766235220_3516837205346864560_n.png?_nc_cat=100&ccb=1-5&_nc_sid=ae9488&_nc_ohc=EWqY-BDOD30AX9jV5IN&_nc_ht=scontent.fsgn8-2.fna&oh=7b12ca1eb07b59a828836955c7cff286&oe=616B0E58)
- Ở mục Services: Chọn HTTP, HTTPS
![Không có mô tả.](https://scontent.fsgn3-1.fna.fbcdn.net/v/t1.15752-9/242040155_384518746474463_1063321334907040927_n.png?_nc_cat=107&ccb=1-5&_nc_sid=ae9488&_nc_ohc=uN1i88Y6u9UAX_TjdwL&_nc_ht=scontent.fsgn3-1.fna&oh=d82ea7f9c4555a069a1508c3352cc5f1&oe=61691B08)
- Ở mục External source networks and devices: Chọn Any
![Không có mô tả.](https://scontent.fsgn3-1.fna.fbcdn.net/v/t1.15752-9/241988290_405922650949005_8177221760496684908_n.png?_nc_cat=104&ccb=1-5&_nc_sid=ae9488&_nc_ohc=lBn6rX60f_8AX9N6AEt&_nc_ht=scontent.fsgn3-1.fna&oh=c2f92e5cb12e64ac4d06ec6d2a9554af&oe=61697721)
- Nhấn Save and finish
![Không có mô tả.](https://scontent.fsgn8-2.fna.fbcdn.net/v/t1.15752-9/242159357_439906650761493_2594269485294878170_n.png?_nc_cat=105&ccb=1-5&_nc_sid=ae9488&_nc_ohc=f8TMRBCPmLsAX97kmIg&_nc_ht=scontent.fsgn8-2.fna&oh=d9c38eebe0cec8069aa3c0fb18ad3089&oe=61693273)
- Sau khi tạo DNAT, Sophos sẽ tự động tạo cho ta 1 firewall rule
![Không có mô tả.](https://scontent.fsgn4-1.fna.fbcdn.net/v/t1.15752-9/242096510_264570595383953_4194744460300866946_n.png?_nc_cat=110&ccb=1-5&_nc_sid=ae9488&_nc_ohc=wrQwD9eGY6YAX_8ima8&_nc_ht=scontent.fsgn4-1.fna&oh=2719d1db5fa6fd19a4e3f76e5124ed10&oe=616A1327)
Firewall 1
- Đăng nhập vào Sophos firewall bằng quyền Admin
- Đi đến mục Hosts and services -> Chọn mục IP host -> Nhấn Add
- Đặt tên
- Ở mục IP version: Chọn IPv4
- Ở mục Type: Chọn IP
- Ở mục IP address: Nhập 172.18.18.18 là IP WAN của firewall Sophos 2
![](https://uploads.thegioifirewall.com/image-2928-1024x487.png)
- Đi đến mục Rules and policies -> Chọn mục NAT rules -> Nhấn Add NAT rule -> Chọn Server access assistant (DNAT)
![](https://uploads.thegioifirewall.com/image-2929-1024x487.png)
- Ở mục Internal server IP address: Chọn host WAN của firewall Sophos 2 đã tạo trước đó -> Nhấn Next
![](https://uploads.thegioifirewall.com/image-2930-1024x487.png)
- Ở mục Public IP address: Chọn port WAN của firewall Sophos 1 -> Nhấn Next
![](https://uploads.thegioifirewall.com/image-2931-1024x487.png)
- Ở mục Services: Chọn HTTP, HTTPS -> Nhấn Next
![](https://uploads.thegioifirewall.com/image-2932-1024x487.png)
- Ở mục External source networks and devices: Chọn Any -> Nhấn Next
![](https://uploads.thegioifirewall.com/image-2933-1024x487.png)
- Nhấn Save and finish
![](https://uploads.thegioifirewall.com/image-2934-1024x487.png)
- Sophos sẽ tự động tạo firewall rule
![](https://uploads.thegioifirewall.com/image-2935-1024x487.png)
Thực hiện kiểm tra truy cập
![Không có mô tả.](https://scontent.fsgn8-1.fna.fbcdn.net/v/t1.15752-9/241977375_1037649127076849_4606466043493992432_n.png?_nc_cat=102&ccb=1-5&_nc_sid=ae9488&_nc_ohc=6y1ZhTQWaw8AX_gkhoh&_nc_ht=scontent.fsgn8-1.fna&oh=4a97c97e0a89d7e90ce6f26504139646&oe=61683CAA)