BLOG

Network Address Translation (Tìm Hiểu Về PfSense Phần 20)

Posted on by Dương Nguyễn

1 Port Forwards

Port forward cho phép truy cập vào một port, dải cổng hoặc giao thức cụ thể trên thiết bị mạng nội bộ được đánh địa chỉ riêng. Tên “port forward” được chọn vì nó là điều mà hầu hết mọi người hiểu trong ngữ cảnh này, và nó đã được đổi tên từ “Inbound NAT” phù hợp hơn về mặt kỹ thuật sau vô số lời phàn nàn từ những người dùng nhầm lẫn. Chức năng tương tự cũng được gọi là “Destination NAT” trong các sản phẩm khác. Tuy nhiên, “Port Forward” là một từ nhầm lẫn, vì các rule port forward có thể chuyển hướng các giao thức GRE và ESP ngoài các cổng TCP và UDP, và nó có thể được sử dụng cho các loại forward lưu lượng truy cập khác nhau cũng như port forward truyền thống. Điều này thường được sử dụng nhất là khi lưu trữ máy chủ hoặc sử dụng các ứng dụng yêu cầu kết nối đến từ Internet.

1.1 Risks of Port Forwarding

Trong cấu hình mặc định, pfSense không cho phép bất kỳ lưu lượng truy cập nào được khởi tạo từ các host trên Internet. Điều này cung cấp sự bảo vệ khỏi bất kỳ ai scan Internet và tìm kiếm hệ thống để tấn công. Khi tồn tại rule port forward, pfSense sẽ cho phép bất kỳ lưu lượng truy cập nào phù hợp với firewall rule tương ứng. Nó không biết sự khác biệt giữa một gói tin với một payload (tải trọng) độc hại và một trong đó là lành tính. Nếu kết nối khớp với firewall rule thì nó được cho phép. Điều khiển dựa trên host phải được sử dụng bởi hệ thống đích để bảo mật bất kỳ dịch vụ nào được phép thông qua firewall.

1.2 Port Forwarding and Local Services

Port forwards được ưu tiên hơn bất kỳ dịch vụ nào đang chạy local trên firewall, chẳng hạn như interface web, SSH,… Ví dụ điều này có nghĩa là nếu truy cập interface web từ xa được cho phép từ WAN bằng cách sử dụng HTTPS trên port TCP 443, port forward trên WAN cho TCP 443 sẽ được ưu tiên hơn và interface web sẽ không thể truy cập từ WAN.nữa. Điều này không ảnh hưởng đến quyền truy cập trên các interface khác, chỉ có interface chứa port forward.

1.3 Port Forward và NAT 1:1

Port forwards sẽ được ưu tiên hơn NAT 1:1. Nếu một port forward được xác định trên một địa chỉ IP bên ngoài để forward một port đến một host, và mục nhập NAT 1: 1 cũng được xác định trên cùng một địa chỉ IP bên ngoài để forward mọi thứ vào một host khác, sau đó port forward vẫn hoạt động và tiếp tục forward đến host ban đầu.

1.4 Adding Port Forwards

Port Forwards được quản lý tại Firewall > NAT, trên tab Port Forward. Các rule trên màn hình này được quản lý theo cách tương tự như các firewall rule.

pfsense 93 - Network Address Translation (Tìm Hiểu Về PfSense Phần 20)

Để bắt đầu thêm một port forward, click pfsense 39 - Network Address Translation (Tìm Hiểu Về PfSense Phần 20). Các tùy chọn sau có sẵn cho cổng chuyển tiếp:

Disable Trong phần tuỳ chọn của checkbox Disable port forward NAT. Để hủy kích hoạt rule, hãy chọn box này

No RDR (NOT) Phủ nhận ý nghĩa của port forward này, chỉ ra rằng không thể thực hiện chuyển hướng nếu quy tắc này phù hợp. Hầu hết các cấu hình sẽ không sử dụng trường này. Điều này sẽ được sử dụng để ghi đè một hành động forward, có thể cần thiết trong một số trường hợp để cho phép truy cập vào dịch vụ trên firewall trên một IP đang được sử dụng cho NAT 1: 1, hoặc một trường hợp nâng cao tương tự khác.

Interface Là nơi port forward sẽ hoạt động. Trong hầu hết các trường hợp thì sẽ là WAN. Đối với các liên kết WAN bổ sung hoặc chuyển hướng local này có thể là interface khác nhau. Interface là vị trí trên firewall nơi lưu lượng truy cập cho port này forward vào.

Protocol Giao thức của lưu lượng truy cập đến phải phù hợp. Điều này phải được thiết lập để phù hợp với loại dịch vụ đang được forward, cho dù đó là TCP, UDP, hoặc một sự lựa chọn có sẵn. Hầu hết các dịch vụ phổ biến được forward sẽ là TCP hoặc UDP. Tùy chọn TCP/UDP forward cả TCP và UDP với nhau trong một rule duy nhất.

Source Các tùy chọn này được ẩn phía sau nút pfsense 74 - Network Address Translation (Tìm Hiểu Về PfSense Phần 20) theo mặc định và được đặt thành any source. Những thứ này thường không cần thiết. Nếu port forward có thể truy cập được từ bất kỳ vị trí nào trên Internet thì source phải là any. Đối với các dịch vụ truy cập hạn chế, hãy sử dụng alias tại đây để chỉ một số địa chỉ IP limited mới có thể truy cập port forward.

Destination Địa chỉ IP nơi lưu lượng truy cập được chuyển tiếp ban đầu được định sẵn. Đối với port forward trên mạng WAN, trong hầu hết các trường hợp thì đây sẽ là địa chỉ WAN. Khi có nhiều địa chỉ IP public, nó có thể là a Virtual IP trên mạng WAN.

Destination port range Port đích ban đầu của lưu lượng truy cập  nó đến từ Internet, trước khi nó được chuyển hướng chỉ định đến máy chủ đích. Nếu forward một port đơn lẻ, hãy nhập nó vào box From port và để trống box To port. Danh sách các dịch vụ phổ biến có sẵn để lựa chọn trong các box sẽ được thả xuống trong nhóm này. Port alias cũng có thể được sử dụng ở đây để forward một tập hợp các dịch vụ. Nếu alias được sử dụng ở đây, cùng một bí danh phải được sử dụng làm Redirect target port.

Redirect target IP Địa chỉ IP nơi lưu lượng truy cập sẽ được forward hoặc chuyển hướng kỹ thuật. Một alias ở đây, nhưng alias chỉ được chứa một địa chỉ duy nhất. Nếu alias chứa nhiều địa chỉ, port sẽ được forward luân phiên đến từng host, đây không phải là điều mà hầu hết mọi người muốn.

Redirect target port Nơi phạm vi port forward sẽ bắt đầu. Nếu một loạt các port được forward, ví dụ: 19000-19100, chỉ có điểm bắt đầu local được chỉ định vì số lượng port phải khớp one-to-one.

Description Như trong các phần khác của pfSense, trường này có sẵn cho một câu ngắn về chức năng của port forward làm hoặc tại sao nó tồn tại.

No XML-RPC Sync Tùy chọn này chỉ phù hợp nếu cấu hình HA Cluster đang được sử dụng, và nếu không thì nên bỏ qua. Khi sử dụng HA cluster với cấu hình synchronization, chọn box này sẽ ngăn rule được đồng bộ hóa với các thành viên khác của một cluster. Thông thường tất cả các rule này sẽ synchronize, tuy nhiên tùy chọn này chỉ có hiệu quả trên các master node, nó không ngăn quy tắc bị ghi đè trên các slave node.

NAT Reflection Tùy chọn này cho phép enable hoặc disable phản ánh trên nền tảng từng rule để ghi đè lên global default.

Filter Rule Association Tùy chọn cuối cùng này rất quan trọng. Mục nhập port forward chỉ xác định lưu lượng truy cập nào sẽ được chuyển hướng, firewall rule là bắt buộc để vượt qua kỳ lưu lượng triu cập nào qua chuyển hướng đó. Theo mặc định, Add associated filter rule  sẽ được chọn. Các lựa chọn có sẵn là:

None Nếu điều này được chọn, sẽ không có firewall rule nào được tạo.

Add associated filter rule Tùy chọn này tạo firewall rule được liên kết với rule port forward NAT này. Các thay đổi được thực hiện đối với rule NAT và được cập nhật tự động trong firewall rule. Đây là lựa chọn tốt nhất cho hầu hết các trường hợp sử dụng.

Add unassociated filter rule Tùy chọn này tạo ra một firewall rule riêng biệt với port NAT forward. Các thay đổi được thực hiện đối với rule NAT phải được thay đổi theo cách thủ công trong firewall rule. Điều này có thể hữu ích nếu các tùy chọn hoặc hạn chế khác phải được đặt trên firewall rule thay vì rule NAT.

Pass Lựa chọn này sử dụng từ khóa pf đặc biệt trên port forward rule NAT khiến lưu lượng truy cập được truyền qua mà không cần đến firewall rule. Bởi vì không tồn tại firewall rule riêng biệt, bất kỳ lưu lượng truy cập nào khớp với rule này đều được chuyển tiếp đến hệ thống đích.

Lưu ý: Nếu sử dụng rule Pass sẽ chỉ hoạt động trên giao diện chứa default gateway cho firewall, vì vậy chúng không hoạt động hiệu quả với Multi-WAN.

Click pfsense 44 - Network Address Translation (Tìm Hiểu Về PfSense Phần 20)

Click pfsense 56 - Network Address Translation (Tìm Hiểu Về PfSense Phần 20)

Ví dụ: forward HTTP inbound on WAN

pfsense 95 - Network Address Translation (Tìm Hiểu Về PfSense Phần 20)

pfsense 94 - Network Address Translation (Tìm Hiểu Về PfSense Phần 20)

1.5 Tracking Changes to Port Forwards

Dấu thời gian được thêm vào mục port forward khi nó được tạo hoặc chỉnh sửa lần cuối, sẽ hiển thị người dùng nào đã tạo quy tắc và người cuối cùng chỉnh sửa rule. Firewall rule tự động tạo ra bởi các rule NAT liên quan cũng được đánh dấu như vậy trên dấu thời gian tạo firewall rule được liên kết.

pfsense 96 - Network Address Translation (Tìm Hiểu Về PfSense Phần 20)

1.6 Port Forward Limitations

Chỉ có thể forward một cổng tới một host nội bộ cho mỗi địa chỉ IP public có sẵn. Ví dụ: nếu chỉ có một địa chỉ IP public, một máy chủ web nội bộ sử dụng port TCP 80 để phục vụ lưu lượng truy cập web có thể được định cấu hình. Bất kỳ máy chủ bổ sung nào cũng phải sử dụng các port thay thế như 8080. Nếu 5 địa chỉ IP public có sẵn đượccấu hình làm địa chỉ Virtual IP, thì 5 web server nội bộ sử dụng port 80 có thể được cấu hình.

1.7 Service Self-Configuration với UPnP hoặc NAT-PMP

Một số chương trình hỗ trợ Universal Plug-and-Play (UPnP) hoặc NAT Port Mapping Protocol (NAT-PMP) để tự động định cấu hình port forward NAT và các firewall rule. Thậm chí nhiều lo ngại về bảo mật cũng được áp dụng ở đó, nhưng khi sử dụng tại nhà, những lợi ích thường vượt trội hơn bất kỳ mối quan tâm tiềm ẩn nào.

1.8 Traffic Redirection với Port Forwards

Một cách sử dụng khác của port forward là để chuyển hướng lưu lượng truy cập từ mạng nội bộ một cách minh bạch. Port forward chỉ định interface LAN hoặc interface nội bộ khác sẽ chuyển hướng lưu lượng truy cập phù hợp với forward đến đích được chỉ định. Điều này thường được sử dụng nhất để ủy quyền lưu lượng truy cập HTTP một cách minh bạch đến một proxy server hoặc chuyển hướng tất cả các DNS đi đến một server.

Dương Nguyễn

0 0 đánh giá
Article Rating
Theo dõi
Thông báo của
guest

0 Comments
Phản hồi nội tuyến
Xem tất cả bình luận
0
Rất thích suy nghĩ của bạn, hãy bình luận.x