PFsense Firewall – Outbound NAT và Routing

Như chúng ta đã biết trong bài Địa chỉ IPv4, do hạn chế về số lượng của địa chỉ IPv4, để sử dụng IP một cách hiệu quả người ta chia IPv4 thành hai loại đại chỉ là Public cho WAN (internet) và Private tái dử dụng trong các mạng LAN. Các máy tính trong LAN muốn truy cập internet phải thông qua một thiết bị chạy Outbound NAT (như router/modem internet), thiết bị này có trách nhiệm chuyển đổi các gói tin IP private qua địa chỉ Public của nó để lấy thông tin về cho các máy trong LAN, vậy tất cả các máy trong LAN đi ra internet thông qua thiết bị Outbound NAT sẽ sử dụng đúng một IP public duy nhất.

Mặc định khi mới được cài đặt thì Pfsense sẽ hoạt động ở chế độ Outbound NAT, nhưng trong hệ thống của bạn đã có một thiết bị đóng vai trò Outbound NAT để kết nối internet rồi thì bạn có thể tắt tính năng này đi. Như trên mộ hình ta thấy một thiết bị Router đã đứng ra chịu trách nhiệm Outbound NAT. Đê tắt dịch vụ này bạn vào Firewall > NAT > Outbound

Chọn Disable Outbound NAT rule generation (No Outbound NAT rules) để tắt Outbound NAT.

Sau khi tắt Outbound NAT, trên thiết bị router/modem bạn phải bật tính năng routing như Static Route để định tuyến các gói tin của lớp mạng bên trong của Pfsense kết nối với hệ thống mạng LAN có thể đi ra internet. Ở đây dùng router 7200 trên GNS3 để giả lập.

Bạn có thể bật static route với các thiết bị sử dụng giao diện web để cấu hình thiết bị:

Với những thao tác đơn giản như vậy bạn đã chuyển Pfsense từ Outbound NAT sang chế độ routing, việc chuyển đổi này không ảnh hưởng gì đến việc bạn thiết lập các Firewall Rule, nó sẽ hữu ích cho việc quản trị của bạn, cũng như việc triển khai các dịch vụ từ mạng LAN ra internet.

Vậy trường hợp nào thì để Pfsense chạy chế độ Routing và trường hợp nào nên để nó chạy ở Outbound NAT?. Bạn sẽ chạy routing khi bạn đã có thiết bị Outbound NAT để kết nối internet rồi và bạn sẽ để Pfsense đóng vai trò là Outbound NAT khi nó phải kết nối trực tiếp đi internet vi dụ như cắm trực tiếp đường truyền Leased line hoặc PPPoE cho FTTH…

Ngoài ra, Pfsense còn hổ trợ cấu hình Static Route (System > Routing> Static Routes) và các gói cài đặt dịch vụ Dynamic Route như RIP, OSPF…

Sau khi cài đặt các gói tin, bạn có thể vào menu Services ( >RIP) để bật và cấu hình dịch vụ.

Pfsense còn cung cấp cả các giải pháp chống loop STP (Spanning Tree Protocol) và các dịch vụ giúp nó có thể chạy ở Layer 2, có thể hổ trợ việc cấu hình cho hệ thống mạng có tính chống chịu lỗi cao và giúp trong việc quản lý các gói tin và chất lượng dịch vụ.

 

Chia sẻ nào!

Related posts