Fortinet Cấu hình NAT và DNAT trên NGFW

NAT trên NGFW giữ vai trò chuyển đổi địa chỉ mạng nhằm đảm bảo khả năng kết nối giữa mạng nội bộ và mạng bên ngoài một cách linh hoạt và an toàn. Việc cấu hình SNAT cho phép các thiết bị bên trong truy cập Internet, bao gồm cả cơ chế PAT và Static NAT để tối ưu việc sử dụng địa chỉ IP. Bên cạnh đó, DNAT được triển khai nhằm cho phép các thiết bị bên ngoài truy cập vào hệ thống nội bộ thông qua Port Forwarding hoặc Static NAT, đáp ứng nhu cầu cung cấp dịch vụ từ bên trong mạng.

Mục lục:
1. Mô hình
2. Cấu hình SNAT và DNAT trên NGFW
2.1. SNAT
2.2. DNAT
2.3. Cách áp dụng
3. Kết luận

1.Mô hình


2.Cấu hình

2.1. Source NAT (SNAT) - Cho phép từ trong ra ngoài​

SNAT giúp che giấu địa chỉ IP nội bộ đằng sau một địa chỉ IP công cộng.

a. PAT (Port Address Translation - Overload)​

Đây là cách phổ biến nhất: Nhiều máy con dùng chung 1 IP của cổng WAN để ra mạng.

• Thao tác: Vào Policy & Objects > Firewall Policy. Chọn Policy cho phép LAN ra Internet (thường là từ port2/port3 sang port1).
• Cấu hình: Kéo xuống phần Firewall / Network Options, bật NAT. Chọn Use Outgoing Interface Address.

b. Static SNAT (One-to-One)​

Dùng khi bạn muốn một máy cụ thể luôn đi ra ngoài bằng một IP xác định (không phải IP của cổng WAN).

• Thao tác: 1. Vào Policy & Objects > IP Pools. Nhấn Create New.2. Chọn Type là One-to-One.3. Nhập dải IP công cộng muốn gán.
• Áp dụng: Trong Firewall Policy, phần NAT, chọn Use Dynamic IP Pool và chọn Pool vừa tạo.

2.2. Destination NAT (DNAT) - Cho phép từ ngoài vào trong​

a. Static NAT (One-to-One Mapping)​

Dùng để "ánh xạ" toàn bộ một IP công cộng vào một IP máy chủ nội bộ.

• 1. Vào Policy & Objects > Virtual IPs > Create New > Virtual IP
• 2. External IP Address/Range: Nhập IP mặt ngoài (WAN).
• 3. Mapped IP Address/Range: Nhập IP máy chủ nội bộ (ví dụ: 192.168.1.100).4. Lưu ý: KHÔNG tích chọn Port Forwarding.

b. Port Forwarding​

Dùng khi bạn chỉ muốn mở một vài cổng nhất định (ví dụ: mở cổng 80 cho Web Server).

• Thao tác: Giống như trên nhưng hãy tích chọn Port Forwarding.
  • Protocol: TCP hoặc UDP.
  • External Service Port: Cổng người dùng bên ngoài gõ vào (ví dụ: 8080).
  • Map to IPv4 Port: Cổng thực tế của ứng dụng bên trong (ví dụ: 80).

2.3. Cách áp dụng
Sau khi tạo VIP, bạn phải cho phép luồng dữ liệu này đi qua firewall.

• Thao tác: Tạo Policy mới.
  • Incoming Interface: Cổng WAN (port1).
  • Outgoing Interface: Cổng LAN (port2 hoặc port3).
  • Destination: Chọn cái Virtual IP bạn vừa tạo ở bước trên.
  • Service: Chọn dịch vụ tương ứng (ví dụ: HTTP).
  • NAT: Tắt (Disable) NAT trong policy này vì VIP đã đảm nhiệm việc dịch địa chỉ rồi.

3.Kết luận

• SNAT (PAT): Nó giúp tiết kiệm địa chỉ IP công cộng và bảo vệ máy con bằng cách ẩn IP thật khi truy cập Internet.
• DNAT (VIP): Nó cho phép triển khai các dịch vụ công khai (như Web, Game Server cho quán net) một cách an toàn, chỉ mở đúng những cổng cần thiết thay vì phơi bày toàn bộ hệ thống ra bên ngoài.