Các Server đằng sau Firewall thường cần được truy cập từ internet. Bạn có thể thực hiện điều này bằng cách sử dụng Port Forwarding, 1:1 NAT, 1:Many NAT. Bài viết này sẽ tìm hiểu về sự khác biệt giữa Port Forwarding và NAT Rules trên thiết bị Meraki MX. 1. Port Forwarding : - Port Forwarding sử dụng các port TCP hoặc UDP cụ thể trên Internet interface của thiết bị MX Security và chuyển tiếp chúng đến các IP nội bộ. Đây là cách tốt nhất cho các người dùng không sở hữu pool địa chỉ public IP. Tính năng này có thể chuyển tiếp các port khác nhau đến các địa chỉ IP nội bộ khác nhau, cho phép nhiều server khác nhau có thể được truy cập từ cùng một địa chỉ public IP. Chọn Add a port forwarding rule để tạo mới Port Forward rule. Description : mô tả của rule. Uplink : lắng nghe trên Public IP của Internet 1, Internet 2, hoặc cả hai (both). Protocol : TCP hoặc UDP. Public port : Destination port của traffic đến cổng WAN. LAN IP : địa chỉ Local IP mà lưu lượng sẽ được chuyển tiếp đến. Local port : Destination port của lưu lượng chuyển tiếp sẽ được gửi từ MX đến host đã chỉ định trên LAN. Nếu chỉ muốn chuyển tiếp lưu lượng mà không chuyển đổi port, chỉ cần thiết lập giống như Public port. Allowed remote IPs : địa chỉ hoặc dải địa chỉ Remote IP được phép truy cập. - Bạn có thể tạo port forwarding rule chuyển tiếp một loạt các cổng. Tuy nhiên dải port được cấu hình trong Public port phải cùng chiều dài như dải port được cấu hình trong Local port. Ví dụ nếu bạn chuyển tiếp TCP 223-225 đến TCP 628-630, port 223 sẽ được chuyển đổi đến 628, port 224 sẽ được chuyển đổi đến 629, port 225 sẽ được chuyển đổi đến 630. 2. 1:1 NAT : - 1:1 NAT dành cho người dùng có nhiều địa chỉ public IP. Sử dụng tùy chọn này để ánh xạ địa chỉ IP ở phía WAN của MX (khác với IP WAN của chính MX) đến một địa chỉ local IP trong network. Chọn Add a 1:1 NAT mapping để tạo mới ánh xạ, và nhập các thông tin sau : Name : mô tả của rule Public IP : Địa chỉ IP sẽ được sử dụng để truy cập tài nguyên nội bộ từ WAN. LAN IP : Địa chỉ IP của server hoặc thiết bị lưu trữ tài nguyên nội bộ Uplink : Giao diện WAN mà lưu lượng truy cập sẽ đến. Allowed inbound connections : các port và remote IP được phép truy cập. Để enable inbound connection, chọn Allow more connections và nhập thông tin sau : + Protocol : chọn TCP, UDP, ICMP ping, hoặc any. + Ports : nhập port hoặc dải port sẽ được chuyển tiếp đến host trong LAN. + Remote IPs : Nhập dải địa chỉ IP WAN được phép tạo kết nối đến trên port hoặc dải port được chỉ định. Bạn có thể chỉ định nhiều dải IP WAN được phân tách bằng dấu phẩy. 3. 1:Many NAT : - 1:Many NAT cho phép cấu hình chuyển tiếp lưu lượng từ địa chỉ public IP đến các internal server. Tuy nhiên không giống 1:1 NAT, 1:Many NAT cho phép một địa chỉ public IP chuyển đổi sang nhiều internal IP, trên các port khác nhau. Đối với mỗi định nghĩa 1:Many IP, một địa chỉ IP public phải được chỉ định, sau đó bạn có thể cấu hình nhiều port forwarding rule để chuyển tiếp lưu lượng đến các thiết bị khác nhau trong LAN. Cũng như 1:1 NAT, 1:Many NAT không thể sử dụng IP WAN của chính MX. Để tạo 1:Many NAT rule, chọn Add 1:Many IP. Public IP : Địa chỉ IP sẽ được sử dụng để truy cập tài nguyên nội bộ từ WAN. Uplink : Giao diện WAN mà lưu lượng truy cập sẽ đến. - 1:Many NAT sẽ được tạo với một forwarding rule. Để thêm rule, chọn Add a port forwarding rule. Description : mô tả rule. Protocol : TCP hoặc UDP. Public port : Destination port của traffic đến cổng WAN. LAN IP : địa chỉ Local IP mà lưu lượng sẽ được chuyển tiếp đến. Local port : Destination port của lưu lượng chuyển tiếp sẽ được gửi từ MX đến host đã chỉ định trên LAN. Nếu chỉ muốn chuyển tiếp lưu lượng mà không chuyển đổi port, chỉ cần thiết lập giống như Public port. Allowed remote IPs : địa chỉ hoặc dải địa chỉ Remote IP được phép truy cập. !!! Cám ơn các bạn đã theo dõi bài viết !!!
