Các bước thực hiện
- Bước 1: Tạo virtual IP để map port giữa IP nội bộ và IP wan
- Bước 2: Tạo Policy và gán các virtual IP vào policy cho phép bên ngoài truy cập vào dịch vụ
- Bước 3: Kiểm tra kết nối bằng cách từ ngoài truy cập vào địa chỉ ip publicort
Truy cập vào Policy & Objects > Virtual IPs, chọn Create New
Trong đó:
- Name: tên của virtual IP
- Comments: ghi chú lại kiểu như chúng ta sử dụng virtual ip này để làm gì
- Interface: chọn cổng sẽ sử dụng để NAT port, cổng này là cổng đấu nối ra internet
- External IP Address/Range: địa chỉ IP public
- Mapped IP Address/Range: địa chỉ IP nội bộ cần NAT ra ngoài
- Tích enable Port Forwarding
- Protocol: chọn protocol tương ứng với port
- External Service Port: port mà người dùng bên ngoài sử dụng để truy cập dịch vụ, port này có thể giống hoặc khác port nội bộ
- Map to Port: Port sử dụng trong local
Tạo 1 Virtual IP Group để nhóm 3 virtual IP lại, chọn Create New > Virtual IP Group
- Name: tên Group
- Interface: chọn cổng đấu nối ra internet
- Members: nhấn dấu + và chọn các virtual IP vừa tạo
Sau khi tạo xong chúng ta vào Virtual IPs để kiểm tra lại cấu hình
Bước 2: Tạo Policy cho phép bên ngoài truy cập vào service
Truy cập Policy & Objects > IPv4 Policy, chọn Create New
Trong đó:
- Name: Tên của policy
- Incoming Interface: bên ngoài truy cập vào nên cổng này sẽ là cổng wan
- Outgoing Interface: chọn cổng đấu nối xuống server, camera có IP nội bộ cần NAT
- Source: chọn all
- Destination: chọn Virtual IP Group vừa tạo, nếu không tạo group có thể chọn từng dịch vụ
- Schedule: thời gian policy có hiệu lực, chọn always để policy luôn có hiệu lực
- Service: chọn các dịch vụ cầm NAT, có thể chọn all hoặc chọn dịch vụ tương ứng chúng ta đang NAT, Fortigate có tạo sẵn các dịch vụ phổ biến. Nếu chưa có các bạn có thể tạo thêm trong phần Policy & Objects > Services, chọn Create New
- Action: chọn ACCEPT
- NAT: tắt nat đi để máy chủ thấy được địa chỉ IP nguồn. Ví dụ như trong log của IIS trên win server, nếu bật NAT và chọn default là "Use Outgoing Interface Address" thì địa chỉ trong log của IIS sẽ lưu IP nguồn là IP của cổng LAN trên Fortigate, IP đích là IP của web server. Nếu tắt NAT thì IP nguồn là IP của Client truy cập (có thể là IP Wan hoặc IP LAN của Client tùy từng trường hợp client có sử dụng NAT tại đầu mạng kia hay không), IP đích là IP của server.
Sau khi hoàn thành các bước trên, ta sẽ tiến hành kiểm tra xem đã NAT thành công chưa
Nhập ip public và port mà ta vừa NAT vào để kiểm tra có truy cập được PC remote mà đã NAT ở trên chưa.
Vậy là quá trình NAT port forwarding đã thành công.