Cấu hình NAT Port trên thiết bị Firewall WatchGuard Firebox

Thảo luận trong 'Firewall Khác' bắt đầu bởi hvminh, 24/9/24.

  1. hvminh

    hvminh Member

    Bài viết này hướng dẫn các bước cấu hình các thiết bị Firewall WatchGuard Firebox để thực hiện NAT port dịch vụ ra Internet. Cấu hình được thực hiện Fireware XTM v12.9.2 trở lên và sẽ được thực hiện NAT port cho hệ thống tổng đài PBX của 3CX. Đối với các dịch vụ khác như https (443), CCTV port, NAS GUI (5001)… bạn có thể sử dụng bài viết này để tham khao.

    Bước 1: Tạo một Static NAT (SNAT):
    - Đầu tiên, Static NAT phải được cấu hình để chuyển tiếp lưu lượng đi vào từ một địa chỉ IP Public tĩnh, tới địa chỉ IP của tổng đài PBX:

    1. Đăng nhập vào Firebox UI > Firewall > SNAT

    2. Click vào biểu tượng ổ khóa để cho phep bạn thay đổi cấu hình và sau đó click “Add”
    [​IMG]
    [​IMG]

    3. Nhập tên cho SNAT policy này, vd: “3CX_SNAT”.

    4. Chọn “Static NAT” ở mục Type.

    5. Bên dưới “SNAT MEMBERS” click “Add”.
    [​IMG]

    6. Chọn IP Address or Interface bên dưới danh mục. Địa chỉ external IP (IP public) của thiết bị nên được sử dụng để NAT cho lưu lượng đi vào tới PBX.

    7. Nhập vào địa chỉ Private IP của PBX trong mục Host và click “OK”.
    [​IMG]
    8. Click “Save” và SNAT Policy bây giờ đã hoạt động.
    [​IMG]
    Bước 2: Tạo Firewall Policy:
    - Sau khi cấu hình Static NAT, phải cấu hình thêm một Firewall Policy:

    1. Trên giao diện Firebox UI > Firewall > Firewall Policies và click “Add Policy”.
    [​IMG]
    2. Với “Policy Type” chọn “Custom” và click “Add”.
    [​IMG]
    3. Đặt tên cho Policy Template này.

    4. Sử dụng nút “Add” bên dưới “PROTOCOLS” để thêm một danh sách tùy chọn các port mà bạn cho phép kết nối tới PBX. Khi toàn bộ các cổng đã được thêm vào, click “Save”.
    [​IMG]
    5. Click “ADD POLICY

    6. Nhập tên cho Policy Name.
    [​IMG]

    7. Xóa các object khỏi “FROM”“TO”.
    [​IMG]
    8. Trong mục “FROM”, click “Add.”

    9. Bên dưới danh sách chọn “Any-External” và click “OK.”
    [​IMG]
    10. Trong mục “TO”, click “Add.”

    11. Bên dưới danh mục Member type chọn “Static NAT”.

    12. SNAT đã được tạo từ trước sẽ được liệt kê ở đây (trong ví dụ này “3CX_SNAT”). Chọn SNAT và “OK.”
    [​IMG]
    13. Firewall policy đã cấu hình sẽ giống như hình dưới đây:
    [​IMG]

    14. Lưu Firewall Policy này lại và policy bây giờ đã chạy.

    Bước 3: NAT Loopback (Hairpin):
    - Nếu bạn không có một DNS server nội bộ để sử dụng cho Split DNS bạn có thể sử dụng NAT loopback để truy cập FQDN của bạn để phân giải IP public của bạn từ bên trong mạng nội bộ.

    - Để làm được việc này bạn cần phải tạo thêm Firewall Policy khác nữa giống như ở Bước 2, với các thay đổi sau:

    1. Ở Bước 2.2 thay vì thêm một Custom Policy, bạn nên chọn một policy đã được chọn, có tên 3CX_Ports
    [​IMG]

    2. Ở Bước 2.6 sử dụng “3CX_Services_Hairpin” làm tên mới.

    3. Ở Bước 2.7 đừng xóa đối tượng khỏi danh mục “FROM”. Giữ lại “Any-Trusted” và/hoặc thêm các mạng nội bộ khác mà bạn muốn NAT loopback (Hairpin) được áp dụng cho tính năng này.

    Bước 4: Kiểm tra lại các cấu hình của bạn:
    1. Đăng nhập vào 3CX Management Console > Dashboard > Firewall và chạy 3CX Firewall Checker. Điều này sẽ kiểm tra lại xem thiết bị Firewall WatchGuard đã được cấu hình đúng cho PBX 3CX hay chưa.

    2. Bên trong Firebox® UI > Firewall > SNAT để xác nhận lại bạn có một SNAT Policy mà traffic có thể đi đến 3CX server.
    [​IMG]

    3. Vào lại bên trong Firebox® UI > Firewall > Firewall Policies để xem lại tổng quan cấu hình lại của bạn. Click vào policy name (vd. “3CX_Ports”) để kiểm tra lại toàn bộ cấu hình cụ thể đã được thiết lập.

    ---- Cảm ơn các bạn đã xem bài viết này ---
     
    hvminh, 24/9/24
    #1

trang này