Cấu hình One-to-One NAT bằng TMG 2010 Quản trị mạng – Trong hướng dẫn này chúng tôi s ẽ giới thiệu cho các bạn cách cấu hình một one-to-one NAT Rule cho host bên trong. Microsoft Forefront Threat Management Gateway (TMG) 2010 có r ất nhiều tính năng nâng cao như lọc URL, bảo vệ chống mã đ ộc, Network Inspection System (NIS), thanh tra HTTPS, ISP dự phòng gây nhiều chú ý. Tuy nhi ên bên dưới các tính năng này còn có r ất nhiều tính năng quan trọng khác, một trong số cần phải giới thiệu thêm trong số này chính là Enhanced NAT (E-NAT). Cấu hình One-to-One NAT E-NAT cho phép bạn có thể chuyển tiếp địa chỉ IP theo theo dạng many-to- one hoặc one-to-one, như một số tường lửa (Cisco, Checkpoint, ) đ ã có. Tuy nhiên việc cấu hình one-to-one NAT trong TMG không đơn giản chút nào. N ếu quen làm việc với các tường lửa của Cisco và Checkpoint thì ch ắc chắn bạn sẽ muốn có tab NAT rule trong giao diện quản lý TMG v à nút Networking. Tuy nhiên có vấn đề là những thứ này lại thực sự không có ở đây. Trong TMG, bạn tạo một one-to-one NAT Rule b ằng cách tạo một Network Rule. Giả sử chúng ta muốn chuyển tiếp tất cả lưu lượng đến từ một host b ên trong nào đó đến một địa chỉ IP được gán cho giao diện mạng bên ngoài c ủa tường lửa TMG (không phải là địa chỉ IP mặc định cho giao diện). Để th ực hiện, mở giao diện điều khiển TMG và ch ọn nút Networking trong menu điều hư ớng. Chọn tab Network Rules trong cửa sổ điều khiển trung tâm, sau đó kích Create a Network Rule trong panel Tasks. Đặt tên mô tả cho Rule và ch ọn Next. Hình 1 Chỉ định nguồn của lưu lượng mà bạn muốn chuyển tiếp. Trong ví dụ n ày, chúng tôi đã chọn một máy chủ riêng, tuy nhiên b ạn có thể chọn các mạng, tập các mạng, tập các máy tính, dải địa chỉ cũng như các subnet. Điều n ày cho phép chúng ta có được khả năng linh hoạt cao khi thi ết lập mối quan hệ NAT trong TMG. Hình 2 Chỉ định đích mà muốn áp dụng Rule này. Trong ví d ụ chúng tôi chọn mạng ngoài External vì muốn chuyển tiếp lưu lư ợng gửi đi từ máy chủ sử dụng rule này. Ở đây bạn có thể chọn rất nhi ều lựa chọn, điều đó cũng cho phép bạn có được sự điều khiển khá tinh đối với việc chuyển tiếp địa chỉ. Hình 3 Chọn tùy chọn Network Address Translation (NAT). Hình 4 Chọn tùy chọn Use the specified IP address và ch ọn địa chỉ IP từ danh sách có sẵn. Lưu ý: Các địa chỉ IP này phải được gán cho giao diện mạng trước để tạo rule, bằng không chúng sẽ không xuất hiện trong danh sách này. Hình 5 Bạn cũng có thể chọn tùy chọn Use multiple IP addresses, tùy ch ọn cho phép bạn chọn thêm địa chỉ IP nữa cho rule (t ạo sự hữu dụng cho các mảng doanh nghiệp khi NLB không được kích hoạt). Hình 6 Hình 7 Một điều quan trọng nữa mà bạn cần biết là các rule mạng, giống nh ư các rule chính sách tường lửa, chúng đư ợc xử lý theo thứ tự. Để hoạt động đúng cách, các rule cụ thể hơn cần phải đặt trước các rule khác. Trong ví dụ trong b ài, rule cụ thể ở đây đang định nghĩa mối quan hệ NAT giữa toàn bộ mạng b ên trong Internal (có host là một trong số các thành viên) và mạng b ên ngoài External. Sau khi wizard hoàn tất và trước khi áp dụng cấu hình, c ần bảo đảm rằng rule mạng mới này phải xuất hiện trước rule Internet Access. Hình 8 Khi đã cấu hình, các lưu lượng được tạo từ host mail.celestix.net đư ợc dự định cho mạng bên ngoài External sẽ khớp với rule số 3, trong rule này m ối quan hệ mạng được dự định là NAT, địa chỉ NAT là được định nghĩa r õ ràng là 10.0.0.2 E-NAT và ISP dự phòng Khi cấu hình -NAT trên tường lửa TMG được cấu hình sử dụng ISP dự ph òng (ISP-R), việc chuyển tiếp địa chỉ có thể làm việc không như mong đợi. Kh i được cấu hình, các rule E-NAT sẽ chiếm quyền ưu tiên và ghi đè lên các quy ết định định tuyến được tạo bởi ISP-R. C ần bảo đảm có một kế hoạch cẩn thận khi thực hiện cả hai kỹ thuật này. Văn Linh (Theo Isaserver) . Cấu hình One-to-One NAT bằng TMG 2010 Quản trị mạng – Trong hướng dẫn này chúng tôi s ẽ giới thiệu cho các bạn cách cấu hình một one-to-one NAT Rule cho host bên trong thêm trong số này chính là Enhanced NAT (E -NAT) . Cấu hình One-to-One NAT E -NAT cho phép bạn có thể chuyển tiếp địa chỉ IP theo theo dạng many-to- one hoặc one-to-one, như một số tường lửa (Cisco,. hệ mạng được dự định là NAT, địa chỉ NAT là được định nghĩa r õ ràng là 10.0.0.2 E -NAT và ISP dự phòng Khi cấu hình -NAT trên tường lửa TMG được cấu hình sử dụng ISP dự ph òng (ISP-R), việc