NAT (Network Address Translation) là kỹ thuật chuyển đổi địa chỉ IP giữa mạng nội bộ (LAN) và mạng bên ngoài (WAN). Trong thực tế, NAT port thường được sử dụng để cho phép truy cập từ Internet vào một dịch vụ nội bộ thông qua cổng (port) cụ thể, ví dụ như truy cập Remote Desktop (port 3389), Web Server (port 80), FTP (port 21),…
Trên Sophos Firewall, NAT port được cấu hình bằng cách tạo DNAT Rule – chuyển hướng lưu lượng từ IP Public và cổng chỉ định về IP nội bộ và port tương ứng.
Việc cấu hình NAT port cần đảm bảo:
- Xác định đúng dịch vụ và cổng sử dụng
- Có địa chỉ IP nội bộ của máy chủ dịch vụ
- Kiểm tra firewall rule cho phép lưu lượng đi qua
- Cân nhắc biện pháp bảo mật nếu mở cổng ra Internet
Cho phép người dùng bên ngoài truy cập vào máy chủ nội bộ qua Remote Desktop (port 3389) thông qua IP WAN của doanh nghiệp.
- IP WAN của doanh nghiệp: 123.20.40.173
- Máy chủ nội bộ cần truy cập: 192.168.206.104
- Dịch vụ cần NAT: Remote Desktop (port 3389)
Để NAT port dịch vụ ra bên ngoài, trước hết các bạn cần định nghĩa IP của máy chủ nội bộ và dịch vụ cần mở. Các bạn click vào menu Host and services trên Dashboard, tại mục IP host các bạn click chọn Add.
Trong bảng thông tin này, các bạn cần điền:
- Name: Đặt tên cho host cần mở port
- Type: chọn IP
- IP address: Nhập IP nội bộ của host
Tiếp theo, bạn cần định nghĩa các dịch vụ sẽ sử dụng.
Trên Sophos Firewall, các dịch vụ phổ biến như HTTP, HTTPS, FTP, SMTP,… đã được cấu hình sẵn, vì vậy bạn có thể sử dụng trực tiếp mà không cần tạo mới.
Tuy nhiên, nếu bạn sử dụng các port khác không có sẵn, hãy làm theo các bước sau để tạo dịch vụ mới:
Vào tab Services và click chọn Add
- Name: Đặt tên cho dịch vụ bạn đang sử dụng
- Type: Chọn loại dịch vụ phù hợp (TCP hoặc UDP)
- Destination Port: Nhập số port của dịch vụ
- Source Port: Để mặc định (1:65535), trừ khi có yêu cầu cụ thể
** Lưu ý: Hãy chọn đúng giao thức (TCP hoặc UDP) tùy theo yêu cầu của dịch vụ
Sau khi điền đầy đủ, nhấn Save để lưu.
Tiến hành tạo NAT Policy để ánh xạ port từ IP WAN về máy chủ nội bộ.
Để tạo vào PROTECT > Rules and policies > NAT rules > Add NAT rule > New NAT rule.
Cấu hình các thông số như sau:
| Rule status | ON |
| Rule name | VACIF_NAT_RDP |
| Rule position | Top |
| Original source | Any |
| Original destination | #Port1 (WAN interface) |
| Original service | REMOTE_DESKTOP (Dịch vụ đã tạo) |
| Translated source (SNAT) | Original |
| Translated destination (DNAT) | WINDOW_SERVER_2025 (IP Host nội bộ) |
| Translated service (PAT) | Original |
| Inbound interface | VNPT_Port1 (GATEWAY PORT1) |
| Outbound interface | Any |
Sau khi điền đầy đủ, nhấn Save để lưu rule.
Mặc định, Sophos Firewall sẽ chặn các lưu lượng truy cập từ Internet vào mạng nội bộ (LAN).
Vì vậy, sau khi cấu hình NAT policy, bạn cần tạo thêm một Firewall Rule để cho phép lưu lượng sử dụng dịch vụ (VD: Remote Desktop) được đi vào.
Để tạo vào PROTECT > Rules and policies > Add firewall rule > New firewall rule.
Cấu hình các thông số như sau:
| Rule name | VACIF_NAT_RDP_RULE |
| Rule position | Top |
| Source zones | WAN |
| Source network | Any |
| Destination zones | LAN |
| Destination network | #Port1 |
| Service | Remote_Desktop |
| Action | Accept |
| Log traffic | Tích chọn để giám sát |
Sau khi điền đầy đủ, nhấn Save để lưu rule.
Sau khi cấu hình xong, bạn có thể kiểm tra xem port đã mở thành công chưa bằng cách:
Truy cập trang:
https://www.yougetsignal.com/tools/open-ports/
Nhập port 3389, nhấn Check.
Nếu hiển thị “Port is open”, nghĩa là NAT thành công.
- Tiếp theo, thử kết nối từ bên ngoài
- Mở Remote Desktop (mstsc.exe)
- Nhập: WAN_IP:3389 hoặc Tên miền_DDNS:3389
- Nếu truy cập được vào máy nội bộ, cấu hình đã hoàn tất.
- Port 3389 là mục tiêu tấn công phổ biến ⇒ KHÔNG nên mở công khai toàn bộ Internet
- Nên:
- Hạn chế IP được phép truy cập
- Kết hợp VPN hoặc ZTNA
- Thay đổi port mặc định nếu có thể
- Giám sát đăng nhập & ghi log