I. Tổng quan
Mục tiêu của bài lab là cấu hình NAT (Network Address Translation) trên Sophos Firewall để cho phép máy chủ web (Web Server) trong môi trường ảo EVE-NG có thể cung cấp dịch vụ HTTPS có chứng chỉ CA ra Internet. Qua đó, người dùng bên ngoài có thể truy cập trang web nội bộ qua địa chỉ IP công cộng của firewall.
II. Tình huống cấu hình
- Web Server nằm trong mạng nội bộ (LAN) của mô hình EVE-NG, chỉ có IP nội bộ (Private IP).
- Sophos Firewall được cấu hình làm gateway giữa mạng nội bộ và Internet.
- Cần cấu hình NAT để ánh xạ (map) cổng HTTP (80) và HTTPS (443) từ IP công cộng trên Sophos và router đến địa chỉ IP nội bộ của Web Server.
III. Mô hình
IV. Hướng dẫn cấu hình
Bước 1: Cấu hình Web Server
- Cài đặt dịch vụ HTTP/HTTPS (Apache, Nginx…).
- Đảm bảo Web Server có IP tĩnh và dịch vụ web hoạt động bình thường trong nội bộ.
Bước 2: Cấu hình giao diện Sophos
Vào mục Rules and policies -> Add firewall rule.
Ở mục Source zones: Chọn WAN -> Source networks and devices: Chọn Any
Destination zones: Chọn LAN -> Destination networks: chọn IP của router EVE -> Services: Chọn dịch vụ HTTP và HTTPS
Bước 3: Cấu hình DNAT trên Sophos Firewall
Vào Rules and Policies -> NAT Rules -> Add NAT rule
Original source: chọn Any
Original destination: Chọn port wan
Original service: Chọn dịch vụ HTTPS
Translated source (SNAT): Chọn Original
Translated destination (DNAT): Chọn IP của route eve (10.10.10.23)
Translated service(PAT): Chọn dịch vụ HTTPS(443)
Inbound interface: Chọn Network là cổng wan
Outbound interface: Chọn any
Bước 4: Cấu hình trên modem router
Đăng nhập vào modem -> Internet -> Security -> Port Forwarding -> Create New Item
Name: Đặt tên rule
Protocol: chọn TCP
WAN connection: Auto
LAN Host: Chọn IP Wan tĩnh cấp cho firewall
WAN Port: 443
LAN Host Port: 443
Bước 5: Kiểm tra
- Từ máy bên ngoài hoặc host thật, truy cập IP công cộng của firewall trên trình duyệt.
- Nếu cấu hình đúng, sẽ truy cập được Web Server nội bộ qua NAT.
