Thanh Phương
Intern
1. Cấu hình SNAT (Source NAT - Chiều từ TRONG ra NGOÀI)
A. PAT (Masquerading) - Cho phép nhiều máy trong LAN dùng chung 1 IP Public để ra Internet
Đây là cấu hình phổ biến nhất.- Vào Rules and policies > NAT rules > Chọn Add NAT rule.
- Cấu hình các thông số sau:
- Name:
Original source: Chọn mạng LAN của bạn (hoặc Any).
Translated source (SNAT): Chọn MASQ (Nó sẽ tự động lấy IP của cổng WAN). - Destination criteria:
- Original destination: Any
- Original service: Any
- Interface criteria:
- Inbound interface: Any
- Outbound interface: Chọn cổng WAN của bạn
- Name:
- Nhấn Save.
B. Static SNAT (1:1 NAT chiều đi) - Cố định 1 máy nội bộ luôn ra ngoài bằng 1 IP Public cụ thể
Dùng khi bạn có một Server trong LAN và muốn khi nó ra Internet, các dịch vụ bên ngoài chỉ nhìn thấy một IP Public cố định (khác với IP Public của rule PAT ở trên).- Add NAT rule mới.
- Cấu hình:
- Name: Static_SNAT_Server
- Source criteria:
- Original source: Chọn IP Private của Server (ví dụ: 192.168.1.50).
- Translated source (SNAT): Chọn IP Public tương ứng mà bạn muốn gán cho Server này (IP này phải thuộc dải WAN của bạn).
- Destination criteria:
- Original destination: Any
- Interface criteria:
- Outbound interface: Chọn cổng WAN.
- Nhấn Save.
Lưu ý quan trọng cho SNAT: Để các rule này hoạt động, bạn phải đảm bảo có một Firewall Rule tương ứng cho phép Traffic đi từ vùng LAN (Source Zone) ra vùng WAN (Destination Zone).
2. Cấu hình DNAT (Destination NAT - Chiều từ NGOÀI vào TRONG)
Sophos v18+ hỗ trợ tính năng DNAT assistant giúp cấu hình cực kỳ nhanh. Tuy nhiên, cấu hình thủ công dưới đây sẽ giúp bạn hiểu rõ bản chất hơn:A. Port Forwarding (PAT chiều vào) - Public một dịch vụ cụ thể ra ngoài
Ví dụ: Bạn muốn public một Web Server nội bộ (192.168.1.100) chạy port 80 ra ngoài Internet qua IP WAN bằng port 8080.- Add NAT rule.
- Cấu hình:
- Name: DNAT_Web_Server_Port_Forward
- Source criteria:
- Original source: Any
- Destination criteria:
- Original destination: Chọn IP WAN của Sophos (hoặc Port2 - IP).
- Original service: Tạo hoặc chọn port dịch vụ bên ngoài người dùng sẽ gõ vào (Ví dụ: TCP 8080).
- Translated destination (DNAT): Chọn IP Private của Web Server (192.168.1.100).
- Translated service (PAT): Chọn port thực tế của Web Server (HTTP hoặc TCP 80).
- Interface criteria:
- Inbound interface: Chọn cổng WAN.
- Nhấn Save.
B. Static NAT (1:1 NAT chiều vào) - Ánh xạ toàn bộ một IP Public vào một IP Private
Dùng khi bạn muốn mọi traffic cấu hình đến một IP Public phụ (Alias IP trên WAN) đều được đẩy thẳng vào một Server nội bộ (đầy đủ các port).- Add NAT rule.
- Cấu hình:
- Name: Static_DNAT_1to1
- Source criteria:
- Original source: Any
- Destination criteria:
- Original destination: Chọn IP Public phụ của bạn (IP này phải được add Alias trên cổng WAN trước đó).
- Original service: Any
- Translated destination (DNAT): Chọn IP Private của Server nội bộ.
- Translated service (PAT): Chọn Original (Giữ nguyên port, không thay đổi).
- Interface criteria:
- Inbound interface: Chọn cổng WAN.
- Nhấn Save.
Lưu ý quan trọng cho DNAT: Khác với SNAT, khi làm DNAT trên Sophos, bạn bắt buộc phải tạo một Firewall Rule đi kèm để cho phép traffic từ ngoài vào:
- Source Zone: WAN | Source Network: Any
- Destination Zone: LAN (hoặc DMZ nơi đặt Server) | Destination Network: Chọn IP Private của Server (Chứ không phải IP Public).
- Service: Chọn đúng Port thực tế của Server (Port sau khi đã dịch).
Mẹo nhỏ khi làm Lab hoặc triển khai:
- Thứ tự Rule (Rule Order): Đặt các rule Static NAT (chi tiết) lên trên các rule PAT/Masquerading (chung chung) để tránh bị ghi đè.
- Nếu muốn tạo cả SNAT và DNAT 1:1 cho cùng một Server nhanh nhất, lúc tạo DNAT bạn tích vào ô Create reflexive rule ở phía dưới cùng, Sophos sẽ tự động tạo một rule SNAT chiều ngược ra tương ứng cho bạn.
Đính kèm
Bài viết liên quan
Được quan tâm
Bài viết mới