Mục tiêu của bài lab là cấu hình NAT (Network Address Translation) trên Sophos Firewall để cho phép máy chủ web (Web Server) trong môi trường ảo EVE-NG có thể cung cấp dịch vụ HTTPS có chứng chỉ CA ra Internet. Qua đó, người dùng bên ngoài có thể truy cập trang web nội bộ qua địa chỉ IP công cộng của firewall.
- Web Server nằm trong mạng nội bộ (LAN) của mô hình EVE-NG, chỉ có IP nội bộ (Private IP).
- Sophos Firewall được cấu hình làm gateway giữa mạng nội bộ và Internet.
- Cần cấu hình NAT để ánh xạ (map) cổng HTTP (80) và HTTPS (443) từ IP công cộng trên Sophos và router đến địa chỉ IP nội bộ của Web Server.
- Cài đặt dịch vụ HTTP/HTTPS (Apache, Nginx…).
- Đảm bảo Web Server có IP tĩnh và dịch vụ web hoạt động bình thường trong nội bộ.
- Vào mục Rules and policies -> Add firewall rule.
- Ở mục Source zones: Chọn WAN -> Source networks and devices: Chọn Any
- Destination zones: Chọn LAN -> Destination networks: chọn IP của router EVE -> Services: Chọn dịch vụ HTTP và HTTPS
- Vào Rules and Policies -> NAT Rules -> Add NAT rule
- Original source: chọn Any
- Original destination: Chọn port wan
- Original service: Chọn dịch vụ HTTPS
- Translated source (SNAT): Chọn Original
- Translated destination (DNAT): Chọn IP của route eve (10.10.10.23)
- Translated service(PAT): Chọn dịch vụ HTTPS(443)
- Inbound interface: Chọn Network là cổng wan
- Outbound interface: Chọn any
- Đăng nhập vào modem -> Internet -> Security -> Port Forwarding -> Create New Item
- Name: Đặt tên rule
- Protocol: chọn TCP
- WAN connection: Auto
- LAN Host: Chọn IP Wan tĩnh cấp cho firewall
- WAN Port: 443
- LAN Host Port: 443
- Từ máy bên ngoài hoặc host thật, truy cập IP công cộng của firewall trên trình duyệt.
- Nếu cấu hình đúng, sẽ truy cập được Web Server nội bộ qua NAT.
