Cấu hình HairPIN NAT – BSOVN - Giải Pháp cho doanh nghiệp Việt

Chào mừng các bạn đến với Công Ty Tư Vấn và Giải Pháp Công Nghệ BSO

1/3/13 Nguyễn Thái Sơn

P.3, Q. Gò Vấp, HCM

8:30 AM - 7:00 PM

Thứ hai đến thứ bảy

Cấu hình HairPIN NAT

NAT và HairPIN NAT là hai tính năng tương đối quan trọng , trong việc cung cấp cho người dùng cuối cách giao tiếp với hệ thống mạng nội bộ từ bên trong và thế giới Internet bên ngoài. Có nhiều phương pháp NAT khác nhau, song trong đó dst nat được xem là thuộc tính mở cổng, cho phép các khách hàng từ bên ngoài Internet có thể truy cập vào các máy chủ bên trong mạng công ty thông qua địa chỉ IP của bộ định tuyến hoặc tên miền động.

Chẳng hạn, dưới đây là một lệnh để mở cổng 8080 trên bộ định tuyến.
/ip firewall nat add chain=dstnat action=dst-nat dst-address=171.26.172.83 dst-port=8080 to-addresses=10.0.0.3 to-ports=8080 protocol=tcp

Vậy thì nếu chúng ta sử dụng địa chỉ IP công cộng để truy cập vào máy chủ, ngay tại mạng nội bộ thì sao nhỉ? Tất nhiên sẽ không thể được. Bởi địa chỉ IP trả về từ máy chủ và địa chỉ mong muốn phản hồi không đúng.
Và đây là sơ đồ kết nối đơn giản.

Trước tiên, chúng tôi thực hiện thêm địa chỉ IP công cộng của bộ định tuyến vào một danh sách, với tên gọi WAN, bằng cách sử dụng tên miền miễn phí của Mikrotik trên các dòng sản phẩm RouterBOARD.
Tại Menu IP – Cloud, chúng tôi kích hoạt tên miền bằng cách chọn vào mục IP – Cloud và chọn Enable, chọn Apply.

Tất nhiên, yêu cầu bật tính năng Cloud này bắt buộc cần có địa chỉ máy chủ DNS cho Router. Trong trường hợp chưa gán, chúng tôi có thể gán tại Menu IP – DNS.

Tại Menu IP – Firewall và thẻ Address List, chúng tôi gán tên miền DNS động với danh sách “WAN”.

Tất nhiên, với tên miền động mà chúng tôi cung cấp, RouterOS phân giải tương ứng đó là địa chỉ IP công cộng của bộ định tuyến, có thuộc tính “D” – (Dynamic) phía trước.
Tương tự, chúng tôi cũng gán mạng LAN cần truy cập HairPIN NAT vào một danh sách, chẳng hạn danh sách “LAN”.

Sau khi thực hiện xong việc gán danh sách, chúng tôi đánh dấu các kết nối từ mạng LAN này tới địa chỉ IP công cộng. Bằng cách chọn thẻ NAT và tạo một đánh dấu mới, sử dụng chain prerouting và hành động là mark connection.

Trong bước tiếp theo, các kết nối này sẽ được NAT theo các thông thường. Sử dụng chain srcnat và hành động là masquerade. Lưu ý rằng, lênh này cần phải đặt đầu tiên trong danh sách thẻ NAT để hoạt động bình thường.

Bước cuối cùng, chúng tôi mở cổng và trỏ tới máy chủ, trong đó cổng mở 8080 phía ngoài IP công cộng, và cổng lắng nghe trên máy chủ là cổng 8080.

Ngoài việc sử dụng Mangle để đánh dấu các kết nối được xem là truy cập HairPIN NAT, chúng tôi cũng có thể sử dụng chain “srcnat” để thực hiện việc thay đổi địa chỉ IP công cộng trong việc truy cập.
Câu lệnh có thể sử dụng như chẳng hạn,
/ip firewall nat
add chain=dstnat action=dst-nat dst-address=171.231.114.82 dst-port=8080 to-addresses=192.168.1.254 to-ports=8080 protocol=tcp
/ip firewall nat
add action=masquerade chain=srcnat dst-address=192.168.1.254 out-interface=BridgeLAN protocol=tcp src-address=192.168.2.0/24

Ý nghĩa của lệnh trên được hiểu rằng:
1. Một máy khách gửi một gói có địa chỉ IP nguồn là 192.168.1.253 đến địa chỉ IP đích là 171.231.114.82 trên cổng 8080 để yêu cầu một số tài nguyên web;
2. Bộ định tuyến tiếp nhận gói tin, tiến hành NAT gói tin bằng cách: Thay đổi địa chỉ IP đích của gói tin đó thành địa chỉ 192.168.1.254 của máy chủ. Đồng thời, thực hiện thay đổi địa chỉ IP nguồn của gói tin thành 192.168.2.1 (Trong đó, địa chỉ IP 192.168.2.1 chính là địa chỉ gateway của BridgeLAN).
3. Máy chủ web trả lời yêu cầu vừa nhận được và gửi trả lời với địa chỉ IP nguồn là 192.168.1.254 và địa chỉ IP đích là địa chỉ IP giao diện LAN của bộ định tuyến là 192.168.2.1;
4. Bộ định tuyến xác định rằng gói tin này là một phần của kết nối trước đó và hoàn tác cả NAT nguồn và đích, đồng thời đặt địa chỉ IP đích ban đầu là 171.231.114.82 vào trường địa chỉ IP nguồn và địa chỉ IP nguồn ban đầu của 192.168.1.253 vào trường địa chỉ IP đích của gói tin máy chủ trả lời.

Bằng cách đó, các máy khách từ mạng LAN có thể truy cập vào máy chủ trong mạng bằng địa chỉ IP Công cộng được cài đặt trên bộ định tuyến Mikrotik. Cấu hình trên được gọi là Hairpin NAT.

Chia sẻ:

Call Now Button
Gửi tin nhắn facebook