P.3, Q. Gò Vấp, HCM
Thứ hai đến thứ bảy
Đôi khi máy chủ trong mạng của chúng tôi cần phải được truy cập từ mạng Internet Ví dụ, vì có những nhân viên phải di động và phải có khả năng truy cập dữ liệu trên máy chủ. Những gì chúng ta cần là một IP công cộng (khái niệm tương tự là IP Public hoặc IP WAN). IP công cộng dạng tĩnh (Static IP) thường được các doanh nghiệp ưu tiên chọn lựa & khuyến khích hơn. Thực ra, chúng ta có thể cài đặt một ip công cộng vào máy chủ của mình, sau đó máy chủ có thể được truy cập từ internet. Vấn đề là nếu chúng ta chỉ có một ip công cộng, còn các máy tính khác cũng phải kết nối internet thì sao nhỉ. Còn vấn đề bảo mật khi bất kỳ lưu lượng truy cập nào từ Internet đều đi đến tới máy chủ ?.
Trong Mikrotik, nhu cầu này có thể được hiện thực hóa khá đơn giản, bằng cách chuyển tiếp cổng hay mở cổng (khái niệm tương tự là port forwarding hoặc port open) sử dụng tính năng NAT có sẵn. Để có thể quản lý băng thông và lọc truy cập qua tường lửa, chúng tôi đặt máy chủ dưới bộ định tuyến. Dưới đây là một sơ đồ đơn giản, chẳng hạn.
NAT hay trình biên dịch mạng hoạt động bằng cách sửa đổi thông tin các thuộc tính trong IP Header của mỗi gói tin.
Có 2 kiểu NAT mà chúng ta thường thấy:
1./ Source NAT hoặc srcnat. Kiểu NAT này được thực hiện dựa trên các các gói bắt nguồn từ một mạng nội bộ. Trong trường hợp này, bộ định tuyến thay thế địa chỉ nguồn của gói tin IP bằng một địa chỉ IP công cộng mới khi nó di chuyển qua bộ định tuyến. Thao tác ngược lại cũng được áp dụng khi thay thế địa chỉ IP công cộng trong gói tin bằng địa chỉ IP nguồn trong mạng LAN, khi gói tin trả về từ Internet.
2./ Destination NAT hoặc dstnat. Kiểu NAT này được thực hiện trên các gói tin mà đích đến là một mạng có NAT trước đó. Nó được sử dụng phổ biến nhất để cho phép các máy chủ trên một mạng nội bộ có thể truy cập được từ Internet. Chức năng của bộ định tuyến NAT là thực hiện dstnat – sẽ thay thế địa chỉ IP đích của một gói IP khi nó di chuyển qua bộ định tuyến tới một mạng nội bộ.
Lưu ý: Các máy chủ dịch vụ có thể không hoạt động khi có tính năng NAT được bật. Do đó, một số giao thức Internet có thể không hoạt động trong các trường hợp có NAT, chẳng hạn giao thức AH từ bộ IPsec.
Để khắc phục những hạn chế này, RouterOS bao gồm một tính năng bổ sung, gọi là trình trợ giúp NAT (NAT Helper) , cho phép truyền NAT cho các giao thức khác nhau.
Để máy chủ có thể được truy cập từ internet, hãy mở cổng trên bộ định tuyến và sau đó là trở cổng đó tới máy chủ trong mạng nội bộ. Việc này sẽ chặn lưu lượng truy cập từ IP công cộng bởi bộ định tuyến đến IP nội bộ của máy chủ. Bằng cách đó, nó giống như thể máy khách từ internet giao tiếp với máy chủ mượn IP công cộng của bộ định tuyến Mikrotik để hoạt động. Bước tạo quy tắc, đơn giản là vào menu IP -> Firewall -> nhấp vào thẻ “NAT”, thêm quy tắc mới bằng cách nhấn nút “thêm”, có dấu “+” màu xanh.
1./ Đối với địa chỉ IP WAN động (dynamic IP).
2./ Đối với địa chỉ IP WAN tĩnh (static IP).
Chỉ là một mẹo nhỏ, nếu bạn không chắc chắn về cổng và giao thức được sử dụng bởi máy chủ, bạn có thể để trống trước. Bằng cách đó, tất cả lưu lượng truy cập từ ip công cộng sẽ được chuyển tiếp đến máy chủ. Với cấu hình trên, quy tắc chuyển tiếp đã hoàn tất.
3./ Đối với nhiều địa chỉ IP WAN tĩnh (static IP).
Đối với quy tắc phía trên, việc cài đặt hoàn tất cho một địa chỉ ip công cộng. Tuy nhiên, nếu chúng ta có nhiều ip công cộng, chúng ta cần thêm một quy tắc nữa. Các quy tắc được sử dụng để hướng lưu lượng phản hồi từ máy chủ đến cùng một đường dẫn với lưu lượng yêu cầu. Ví dụ: yêu cầu vẫn là từ IP Public A, thì phản hồi từ máy chủ cũng phải đến IP Public A. Nếu hóa ra lưu lượng phản hồi đến từ IP Public B, thì lưu lượng đó không được máy khách chấp nhận. Các quy tắc phải được tạo như sau:
Quy tắc NAT đã hoàn tất, nhưng nếu chúng ta có nhiều hơn một máy chủ trong mạng, trong khi chúng ta chỉ có một IP công cộng, chúng ta có thể chuyển tiếp bằng cổng. Ví dụ: máy chủ A có thể được truy cập qua cổng 5678, sau đó máy chủ B qua cổng 8910. Với cách giải thích này, khi bộ định tuyến nhận được kết nối từ cổng 5678, kết nối sẽ được chuyển tiếp đến Máy chủ A, cũng như khi bộ định tuyến nhận được kết nối kết nối từ cổng 8910, nó sẽ chuyển tiếp đến máy chủ B.
4./ Hairpin NAT.
Câu hỏi đặt ra là liệu chúng tôi có thể truy cập máy chủ bằng địa chỉ ip công cộng từ trong mạng nội bộ hay không ?
Câu trả lời là không. Tại sao nhỉ?
Khi truy cập từ Internet với IP máy khách là 113.166.1.12 chẳng hạn, luồng lưu lượng sẽ trông như thế này.
Khi truy cập từ mạng nội bộ với IP máy khách là 192.168.1.253, luồng lưu lượng sẽ trông như thế này.
Điều xảy ra là máy chủ ngay lập tức gửi lưu lượng phản hồi trực tiếp đến máy khách mà không cần thông qua bộ định tuyến, vì địa chỉ nguồn tồn tại của máy khách và địa chỉ IP mạng máy chủ (vẫn nằm trong 1 đoạn IP). Lưu lượng phản hồi được gửi từ máy chủ sẽ bị máy khách từ chối, vì trước đó máy khách đã gửi yêu cầu tới bộ định tuyến trước chứ không phải trực tiếp đến máy chủ. Máy khách chỉ muốn nhận phản hồi từ ip đã được đánh địa chỉ trước đó, đó là 117.16.102.18. Vậy thì, bây giờ giải pháp là thêm Quy tắc NAT cho lưu lượng truy cập từ mạng nội bộ đến Máy chủ.
Với quy tắc NAT ở trên, quy tắc này sẽ thay đổi địa chỉ ip nguồn mà trước đây là ip máy tính khách, được thay thế bằng ip bộ định tuyến Mikrotik khi dữ liệu được chuyển tiếp từ bộ định tuyến Mikrotik đến máy chủ. Sau đó, máy chủ sẽ gửi dữ liệu phản hồi đến bộ định tuyến Mikrotik, không trực tiếp đến máy khách. Với quy tắc nat mới, luồng dữ liệu sẽ như sau:
Hoàn tất cài đặt.
Nguồn: Routerikvn