Chung Anh Kiệt
Intern
Chào anh em, tiếp nối các bước thiết lập Policy ở bài trước, hôm nay chúng ta sẽ giải quyết bài toán "phiên dịch" địa chỉ IP (NAT).
Bắt đầu từ phiên bản firmware SFOS v18 trở lên, Sophos đã quy tụ toàn bộ NAT vào một khu vực quản lý riêng biệt. Chúng ta sẽ cùng thực hành 2 kiểu NAT phổ biến nhất:
Rất may là Sophos XG có một công cụ "phép thuật" giúp việc này cực kỳ nhàn:
Vậy là anh em đã nắm trọn trong tay kỹ năng kiểm soát luồng giao thông (NAT) trên Sophos XG.
- Với SNAT, chúng ta đã cấp "visa" thành công cho toàn bộ mạng nội bộ được phép đi ra Internet an toàn thông qua tính năng MASQ.
- Với DNAT (sử dụng Server Access Assistant), chúng ta thấy được sự thông minh của Sophos khi nó tự động hóa toàn bộ quá trình mở port: tự sinh DNAT, Loopback NAT và cả Firewall Rule đi kèm chỉ trong 1 nốt nhạc.
Chúc anh em thành công, hẹn anh em ở lab sau nhóe :3
Bắt đầu từ phiên bản firmware SFOS v18 trở lên, Sophos đã quy tụ toàn bộ NAT vào một khu vực quản lý riêng biệt. Chúng ta sẽ cùng thực hành 2 kiểu NAT phổ biến nhất:
1. Cấu hình SNAT (Source NAT / PAT) - Cho phép mạng nội bộ ra Internet
Mục đích của bước này là gộp tất cả các thiết bị trong mạng LAN (dải 172.16.16.x) ra ngoài Internet thông qua một IP Public duy nhất của cổng WAN (Kỹ thuật MASQ - Masquerade).- Thao tác: Truy cập menu Rules and policies -> chuyển sang tab NAT rules.
- Nhấn Add NAT rule -> Chọn New NAT rule.
- Khai báo các thông số định tuyến:
- Rule name: SNAT_LAN_to_Internet
- Original Source: Chọn Object LAN_Vung_Cam (hoặc dải mạng nội bộ anh em muốn cho ra ngoài).
- Translated Source (SNAT): Chọn MASQ (Đây là điểm mấu chốt để Firewall tự động lấy IP cổng WAN dịch cho mạng LAN).
- Original Destination: Chọn Any.
- Outbound Interface: Chọn cổng đang cắm ra Internet (PortB).
- Nhấn Save để lưu cấu hình.
- Lúc này, anh em đứng từ máy Winserver mở trình duyệt hoặc ping 8.8.8.8 là đã thấy mạng thông vi vu rồi nhé.
2. Cấu hình DNAT (Destination NAT) - Cho phép bên ngoài truy cập vào Server nội bộ
Giả sử máy Winserver của chúng ta đang chạy một dịch vụ Web (HTTP) hoặc Remote Desktop (RDP). Người dùng từ ngoài Internet không thể gõ thẳng IP LAN (172.16.16.x) được, mà phải gõ IP WAN của Tường lửa. Tường lửa sẽ nhận trách nhiệm "bẻ lái" gói tin đó vào đúng con Winserver bên trong.Rất may là Sophos XG có một công cụ "phép thuật" giúp việc này cực kỳ nhàn:
- Thao tác: Vẫn ở tab NAT rules, nhấn Add NAT rule -> Chọn Server access assistant (DNAT).
- Bước 1 - Internal Server: Nhấn Add và chọn IP của con máy ảo Winserver. (Mẹo: Anh em nên tạo trước một Object IP Host cho Winserver, ví dụ IP là 172.16.16.10, rồi tick chọn nó ở đây).
- Bước 2 - Public IP address: Chọn Interface mặt ngoài để đón khách. Ở đây ta chọn PortB (Cổng WAN).
- Bước 3 - Services: Khai báo dịch vụ muốn Public. Anh em có thể chọn HTTP, HTTPS hoặc RDP (Remote Desktop) tùy mục đích.
- Bước 4 - External Source Networks: Chọn Any (Mở cửa cho toàn bộ Internet truy cập).
- Bước 5: Xem lại bảng tóm tắt cấu hình. Nhấn Save and finish.
Vậy là anh em đã nắm trọn trong tay kỹ năng kiểm soát luồng giao thông (NAT) trên Sophos XG.
- Với SNAT, chúng ta đã cấp "visa" thành công cho toàn bộ mạng nội bộ được phép đi ra Internet an toàn thông qua tính năng MASQ.
- Với DNAT (sử dụng Server Access Assistant), chúng ta thấy được sự thông minh của Sophos khi nó tự động hóa toàn bộ quá trình mở port: tự sinh DNAT, Loopback NAT và cả Firewall Rule đi kèm chỉ trong 1 nốt nhạc.
Chúc anh em thành công, hẹn anh em ở lab sau nhóe :3
Đính kèm
Bài viết liên quan
Được quan tâm
Bài viết mới