Network Address Translation (NAT) trên SonicOS Enhanced cho phép người dùng xác định chính sách NAT cho lưu lượng truy cập đến và đi của họ. Bài viết này sẽ giới thiệu các chính sách NAT khác nhau có thể được cấu hình trên firewall SonicWall. 1.Many to One NAT : - Đây là một chính sách NAT phổ biến cho phép bạn biên dịch một nhóm địa chỉ thành một địa chỉ duy nhất. Điều này có nghĩa là bạn biên dịch một địa chỉ internal (Private Subnet) thành địa chỉ IP của SonicWall WAN port. Trong trường hợp này ở đích đến thấy yêu cầu gửi từ địa chỉ IP của SonicWall WAN interface chứ không phải từ địa chỉ IP internal. - Sonicwall mặc định đã có cấu hình chính sách NAT cho phép biên dịch tất cả các outgoing requests thành địa chỉ IP SonicWall’s primary WAN interface. - Để xem các chính sách NAT mặc định đã được cấu hình trên SonicWall, đi đến Policies|Rules and Policies|NAT Rules. - Hình ảnh phía dưới là menu cấu hình của chính sách NAT mặc định để biên dịch outbound traffic thành địa chỉ IP của X1 Interface. 2.One to One NAT : - Đây là một chính sách NAT cho phép bạn biên dịch một địa chỉ IP Internal thành một địa chỉ IP duy nhất. Hầu hết chính sách này được sử dụng để ánh xạ địa chỉ IP private của server thành địa chỉ IP public cho phép truy cập server từ internet, với sự cho phép của firewall access rule. - Trong ví dụ này ta sẽ dùng một server sử dụng dịch vụ HTTP. + Tạo Address Objects : - Chọn Object ở đầu trang, đi đến Match objects|Addresses. - Chọn nút Add để tạo hai address objects cho địa chỉ IP của server và public IP. Address Object cho Server Name: Webserver Private Zone Assignment: LAN Type: Host IP Address: 192.168.1.100 Address Object cho Server's Public IP Name: Webserver Public Zone Assignment: WAN Type: Host IP Address: 1.1.1.1 + Tạo Inbound NAT Policy - Chính sách này cho phép bạn biên dịch địa chỉ IP public thành địa chỉ IP private. Chính sách NAT này kết hợp với access rule cho phép bất cứ nguồn nào kết nối tới server nội bộ bằng cách sử dụng địa chỉ IP public. - Từ SonicWall’s management GUI,chọn Policies tại đầu trang. - Đi đến Rules and Policies| NAT Rules. - Chọn Add và cấu hình như phía dưới. Original Source: Any Translated Source: Original Original Destination: Webserver Public Translated Destination: Webserver Private Original Service: HTTP Translated Service: Original Inbound Interface: X1 Outbound Interface: Any Enable NAT Policy: Checked Create a reflexive policy: bạn có thể bật tính năng này trong mục Advanced. Khi đó sẽ tự động tạo chính sách NAT phản chiếu (outbound hoặc inbound) của chính sách NAT ta vừa tạo, ví dụ về reflexive policy ở phía dưới. 3.DNS Loopback NAT Policy : - Mục đích của DNS Loopback NAT Policy cho phép các Host trên vùng LAN hoặc DMZ có thể truy cập đến web server trên LAN sử dụng địa chỉ IP public của server. - Đi đến Rules and Policies| NAT Rule. - Chọn Add và cấu hình như phía dưới. Original Source:Firewalled Subnets Translated Source:Webserver Public Original Destination:Webserver Public Translated Destination:Webserver Private Original Service:HTTP Translated Service:Original Inbound Interface:Any Outbound Interface:Any Enable NAT Policy:Checked 4.Inbound Port Address Translation via WAN (X1) IP Address : - Cho phép bạn sử dụng WAN IP address của Sonicwall để cung cấp truy cập nhiều server trong nội bộ. Ví dụ phía dưới chúng ta sẽ thiết lập truy cập đến hai Web servers nội bộ sử dụng SonicWall’s WAN IP address, mỗi cái sẽ được gắn với một port duy nhất. + Tạo hai port khác nhau : - Chọn Object ở đầu trang, đi đến Match Objects| Services. - Chọn Add để tạo port sử dụng bởi server. - Trong ví dụ phía dưới Webserver 1 sử dụng port 4433 và Webserver 2 sử dụng port 4434 + Tạo hai address objects : - Chọn Object ở đầu trang, đi đến Match Objects | Addresses - Chọn Add để tạo + Tạo inbound NAT Policies : - Ta sẽ tạo chính sách NAT gán custom port đã tạo đến các port đang lắng nghe thực sự trên server. - Chọn Policy ở đầu trang - Đi đến Rules and Policies | NAT Rules - Chọn Add để tạo theo cấu hình phía dưới. - Cả hai địa chỉ IP private đều được biên dịch từ cùng địa chỉ IP public nhưng dựa trên các source port khác nhau. Để truy cập web server 192.168.1.100, người dùng từ internet nhập https://1.1.1.1:4433 trên trình duyệt của họ, tương tự truy cập web server 192.168.1.101, nhập https://1.1.1.1:4434. - Outbound NAT policies sẽ cần được tạo nếu lưu lượng được tạo từ các server là tách biệt, bạn có thể sử dụng tính năng Create a Reflexive policy trong mục Advanced/Actions. !!! Cám ơn các bạn đã theo dõi bài viết !!!
