Hướng Dẫn Configure NAT Rules (Step-by-Step)

Khi triển khai các dịch vụ public như Website, Proxy hoặc Mail Server, việc mở port Sophos Firewall thông qua NAT là bước bắt buộc. Nếu NAT cấu hình sai, dịch vụ nội bộ sẽ không thể truy cập từ Internet.

Trong bài viết này, bạn sẽ học cách:

• Mở port 80/443 cho Proxy VM

• Mở port Mail Server Zimbra

• Hiểu cơ chế DNAT hoạt động

• Nắm rõ cách Sophos tự sinh firewall rule

Toàn bộ quy trình giữ nguyên chuẩn kỹ thuật và có thể áp dụng cho:

• Camera IP

• Website nội bộ

• Application Server

• Email Server

• Các dịch vụ cần public ra Internet

1️⃣ Demo NAT Port 80/443 cho VM 192.168.16.175 (Proxy)

Thông tin hệ thống:

Internal Proxy VM IP:
192.168.16.175

Port cần mở:

80 (HTTP)
443 (HTTPS)

Hai port này cho phép người dùng truy cập web từ bên ngoài.

Step 0: Check port

Trước khi mở port Sophos Firewall, cần kiểm tra:

• Service đã chạy trên VM chưa

• Truy cập được từ LAN chưa

• Port 80 và 443 đã open nội bộ chưa

Việc kiểm tra trước giúp tránh lỗi khi test từ Internet.

Step 1: Create host and service

Tạo host object cho:

192.168.16.175

Sau đó tạo hoặc kiểm tra service object cho:

Port 80
Port 443

Việc sử dụng object giúp cấu hình rõ ràng và chuyên nghiệp hơn.

Step 2: Perform NAT

Tiến hành cấu hình DNAT (Destination NAT).

DNAT sẽ generate 3 NAT rules.

Sau khi hoàn tất NAT, hệ thống sẽ tự động tạo một firewall rule tương ứng.

Firewall rule này cho phép traffic sau khi NAT được chuyển vào server nội bộ.

Lưu ý quan trọng:

Kiểm tra vị trí rule trong danh sách firewall rule.

Đến đây, port 80 và 443 đã được publish ra Internet.

Quy trình này tương tự khi cần mở port Sophos Firewall cho các dịch vụ khác như:

• Camera

• Website

• Email Server

• Ứng dụng nội bộ

Khi đã nắm vững cách mở port Sophos Firewall, việc public dịch vụ trở nên rất đơn giản.

2️⃣ Demo NAT Port cho Email Server VM 192.168.16.172

Tiếp theo là mở port cho Mail Server.

Internal VM IP:
192.168.16.172

Các port cần NAT theo thứ tự:

995
25
465
587
993
7071
7025

Đây là các port bắt buộc cho Zimbra Mail Server.

Chức năng từng port:

• 25: SMTP

• 465 / 587: Secure Mail Submission

• 993 / 995: Secure IMAP/POP

• 7071 / 7025: Port quản trị và dịch vụ

Quy Trình NAT

Quy trình cấu hình hoàn toàn giống phần Proxy:

Step 0: Check port nội bộ

Step 1: Create host và service

Step 2: Perform DNAT

DNAT sẽ generate các NAT rule tương ứng.

Hoàn tất NAT sẽ tự sinh firewall rule.

Đảm bảo:

• NAT mapping chính xác

• Firewall rule cho phép WAN → LAN

• Không bị rule khác chặn phía trên

Sau khi cấu hình xong, mail client bên ngoài có thể kết nối vào Zimbra.

Vì Sao Port 80 và 443 Không Cần NAT Cho Mail Server?

Trong demo này, port 80 và 443 không NAT trực tiếp cho Mail Server.

Lý do:

Hệ thống đang sử dụng proxy (192.168.16.175) làm trung tâm forward nội bộ.

Proxy đóng vai trò:

🔹 Reverse proxy
🔹 Trung gian xử lý SSL
🔹 Phân luồng traffic nội bộ
🔹 Tăng cường bảo mật

Proxy là công cụ rất mạnh để bảo vệ hệ thống public.

Sẽ có một video riêng hướng dẫn chi tiết tính năng này.

Best Practices Khi Mở Port Sophos Firewall

Để hệ thống an toàn và ổn định:

✅ Kiểm tra service nội bộ trước khi NAT

Không test Internet khi LAN chưa hoạt động.

✅ Sử dụng host và service object

Cấu hình rõ ràng và dễ quản lý.

✅ Ghi lại mapping NAT

Public IP → Internal IP.

✅ Theo dõi firewall log

Quan sát khi test mở port.

✅ Chỉ mở port cần thiết

Tránh mở port không dùng đến.

Những Lỗi Thường Gặp

❌ Quên kiểm tra firewall rule
❌ Mở sai port
❌ Thứ tự rule sai
❌ Service nội bộ chưa chạy
❌ ISP chặn port

Khi gặp lỗi, luôn kiểm tra từ trong ra ngoài:

Service → LAN → NAT → Firewall → ISP.

Khi Nào Cần Mở Port Sophos Firewall?

Bạn cần mở port khi:

• Public Website nội bộ

• Triển khai Mail Server

• Cung cấp camera xem từ xa

• Chạy ứng dụng cần truy cập Internet

• Cấu hình Remote Access

NAT là cầu nối giữa mạng private và Internet public.

Kết Luận

Trong bài hướng dẫn này, bạn đã hoàn tất việc mở port Sophos Firewall bằng NAT.

Bạn đã:

• Mở port 80/443 cho Proxy VM 192.168.16.175

• Mở các port cần thiết cho Mail Server VM 192.168.16.172

• Hiểu cách DNAT generate NAT rule và firewall rule

• Nắm được vai trò của proxy trong hệ thống

Khi thành thạo mở port Sophos Firewall, bạn có thể triển khai dịch vụ public một cách chuyên nghiệp và an toàn.

Bước tiếp theo có thể là:

• Reverse Proxy nâng cao

• SSL Offloading

• Web Server Protection

• IPS

Sophos Firewall của bạn giờ đã sẵn sàng cho môi trường production thực tế. 🔐🚀