pfSense – P6 pfSense NAT Rule Configuration – Open Port to LAN Server

Hiểu rõ nat port pfSense là bước quan trọng khi bạn cần publish dịch vụ nội bộ ra Internet hoặc kiểm soát cách traffic đi ra ngoài mạng.

Trong bài viết này, bạn sẽ tìm hiểu:

• Port Forwarding (Destination NAT)

• 1:1 NAT

• Outbound NAT (Source NAT)

• NPT dành cho IPv6

Mỗi phần đều có ví dụ thực tế và giải thích rõ luồng hoạt động.

🔹 1. NAT Overview

Network Address Translation (NAT) cho phép IP private giao tiếp với mạng public. Trong pfSense, NAT đóng vai trò cốt lõi đối với cả traffic inbound và outbound.

Có nhiều loại NAT khác nhau, mỗi loại phục vụ mục đích riêng.

🔹 1.1. Port Forwarding (Destination NAT)

Port Forwarding cho phép mở một port cụ thể từ Internet vào server nội bộ.

Example:

Public WAN IP:
115.73.17.111

Internal Server:
192.168.16.175 (Proxy server)

Configuration:

WAN port 443 → 192.168.16.175:443

Flow:

Internet → WAN IP → pfSense → Internal Server

Đây là dạng nat port pfSense phổ biến nhất trong các hệ thống mạng doanh nghiệp nhỏ và vừa.

📌 Khi nào sử dụng Port Forwarding?

• Web server
• Mail server
• VPN server
• Camera
• Remote Desktop

Khi bạn cần expose một dịch vụ cụ thể ra Internet, Destination NAT là phương án phù hợp.

🔹 1.2. 1:1 NAT

👉 Map toàn bộ một public IP với một private IP.

For example, you have 5 public IPs:

113.161.10.50 – 113.161.10.54

You want:

113.161.10.51 ↔ 192.168.16.10

This means:

All traffic to that public IP will go directly to the server.

Khác với Port Forwarding, bạn không cần map từng port riêng lẻ mà map toàn bộ IP.

🔧 Các bước cấu hình

Step 1: Create NAT Rule
Step 2: Create Firewall Rule (WAN)

Cả hai bước đều bắt buộc. NAT chỉ thực hiện việc chuyển đổi địa chỉ, còn firewall rule quyết định có cho phép traffic hay không.

📌 Khi nào sử dụng 1:1 NAT?

• Doanh nghiệp có nhiều public IP
• Muốn server có public IP riêng
• Không muốn cấu hình từng port

1:1 NAT giúp đơn giản hóa triển khai khi server cần full public exposure.

🔹 1.3. Outbound NAT (Source NAT)

👉 NAT từ LAN ra Internet.

Đây là NAT mặc định giúp hệ thống có thể truy cập Internet.

Flow:

192.168.16.100 → pfSense → change to 113.161.10.50 → Internet

pfSense sẽ chuyển đổi IP private thành IP public trước khi gửi ra ngoài.

Nếu không có nat port pfSense dạng outbound này, thiết bị nội bộ sẽ không thể truy cập Internet.

🔹 Các chế độ Outbound NAT

Có 4 mode:

Automatic
pfSense tự động tạo rule → 90% hệ thống sử dụng mode này.

Hybrid
Tự động + cho phép thêm rule tùy chỉnh.

Manual
Bạn tự cấu hình toàn bộ rule.

Disable Outbound NAT
pfSense sẽ KHÔNG thực hiện Source NAT cho outbound traffic.

Việc chọn mode phụ thuộc vào độ phức tạp của hệ thống mạng.

📌 Khi nào cần điều chỉnh Outbound NAT?

• Multiple WANs
• Site-to-site VPN
• Không muốn NAT một subnet cụ thể
• Muốn một VLAN đi ra bằng public IP khác

Các mô hình mạng nâng cao thường yêu cầu Hybrid hoặc Manual mode.

🔹 1.4. NPT (Network Prefix Translation)

👉 Dùng cho IPv6.

IPv6 không yêu cầu NAT giống IPv4.

Tuy nhiên nếu ISP thay đổi prefix, bạn có thể dùng NPT để:

• Map internal prefix ↔ ISP prefix

Điều này giúp giữ nguyên cấu trúc IPv6 nội bộ ngay cả khi prefix bên ngoài thay đổi.

NPT hiếm khi dùng trong lab cơ bản nhưng xuất hiện trong môi trường IPv6 doanh nghiệp.

🔎 Hiểu Đúng Traffic Flow Trong nat port pfSense

Khi cấu hình NAT, cần nhớ:

• NAT xử lý chuyển đổi địa chỉ

• Firewall rule xử lý quyền truy cập

• Cả hai phải hoạt động đồng bộ

Ví dụ:

Port Forwarding mà không có WAN firewall rule tương ứng sẽ không hoạt động.
1:1 NAT cũng vậy, nếu không có rule cho phép thì traffic vẫn bị chặn.

Đây là lỗi phổ biến khi triển khai nat port pfSense.

🚀 Best Practices Khi Cấu Hình nat port pfSense

Khi triển khai NAT:

• Ghi chú rõ mapping public ↔ private

• Không mở port không cần thiết

• Ưu tiên mở port cụ thể thay vì expose toàn bộ

• Thường xuyên kiểm tra rule WAN

• Test sau mỗi thay đổi

Bảo mật luôn phải được đặt lên hàng đầu.

🏁 Kết Luận

Nắm vững nat port pfSense giúp bạn:

• Publish dịch vụ nội bộ an toàn

• Gán public IP riêng cho server

• Kiểm soát outbound traffic

• Chuẩn bị triển khai IPv6

Hiểu rõ sự khác biệt giữa:

• Port Forwarding

• 1:1 NAT

• Outbound NAT

• NPT

là nền tảng quan trọng trong quản trị firewall chuyên nghiệp.

Đây là phần quan trọng trong chuỗi triển khai pfSense, tạo tiền đề cho các chủ đề nâng cao như Policy Routing, Multi-WAN, VPN Integration và thiết kế hệ thống mạng phức tạp.