I. Network Address Tranlation
3. Cấu hình NAT trên CheckPoint Security Gateway
3.3 Cấu hình Manual NAT
Để chức năng Manual NAT có thể hoạt động, trước khi cấu hình Manual NAT ta cần cấu hình 2 chức năng sau :
Host route: dùng để route một địa chỉ IP Public đến một địa chỉ IP Private trong mạng. Host route được dùng trong trường hợp static destination NAT.
Proxy ARP: Automatic ARP chỉ được hổ trợ với Automatic NAT rule, do đó với Manual NAT rule ta cần phải cấu hình để reply ARP request cho địa chỉ đã NAT. Proxy ARP chỉ cần khi có cấu hình static destination NAT.
Trong nhưng phiển bản trước của CheckPoint chức năng client side destination NAT không được hổ trợ nên host route cần phải được cấu hình trước để gói tin được route trước khi NAT. Nhưng để Manual static detination NAT có thể hoạt động thì Proxy ARP vẫn phải được cấu hình.
IP 199.1.1.1 dùng để NAT cho internal network IP 199.1.1.2 dùng để NAT cho nyweb01
3.3.1 Cấu hình host route
Chức năng host route chỉ được dùng khi firewall không hổ trợ chức năng client side destination NAT, nên lúc nào destination NAT sẻ diễn ra theo kiểu server side. Trên cả hệ điều hành windows ta sử dụng lệnh:
route add <IP Public> <IP Private>
route add <IP Public>/<netmask> <IP Private>
Ví dụ ta có thể dùng lệnh như sau nếu firewall khơng có chức năng client side destination NAT:
route add –p 199.1.1.2 192.168.10.2
Địa chỉ 199.1.1.2 cùa nyweb01 sẽ được route đến địa 192.168.10.2 trong vùng DMZ trước khi được NAT. Thông số -p cho biết rằng lệnh route sẽ tồn tại trong bảng route tabling của hệ điều hành cho đến khi được xóa và khơng ảnh hưởng gì khi ta khởi động lại hay tắt firewall.
3.3.2 Cấu hình Proxy ARP
Đề cấu hình chức năng Proxy ARP trên cả windows và linux ta cần tạo file local.arp, trước khi cấu hình cần phải biết địa chỉ MAC của interface phía Client Side.
Trên Windows ta đùng lệnh ipconfig /all để xem địa chỉ MAC của card mạng, đối với hệ điều hành linux và Unix dùng lệnh ifconfig để xem.
Tạo file local.arp có nội dung như sau: 199.1.1.2 00:01:02:3C:88:7A
Sao đó dùng chép file local.arp vào 2 nơi sau: $FWDIR/state/ và $FWDIR/conf/ Khởi động lại firewall bằng lệnh cpstop và cpstart, sau đó dùng lệnh fw ctl arp xem kiểm tra lại chức năng ARP Proxy.
3.3.3 Tạo Object cho Manual NAT rule
Trước khi tạo Manual NAT rule ta cần tạo các network object cho rule. Theo sơ đồ ta tạo các ojbect sau đây, các object này là thành phần để tạo thành một NAT rule :
Loại Object Name
Node Host nyweb01 IP Address: 192.168.10.2
Node Host nyweb01_public_add IP Address :199.1.1.2
Network internal_lan Network address: 10.1.1.0
Subnet mask :255.255.255.0
3.3.4 Tạo Manual NAT Rule
Dùng SmartDashboard vào menu RuleAdd RulesTop, sau đó CheckPoint
firewall tạo ra một rule mặc định như sau hình.
Để chỉnh lại rule, ta click phải lên từng phần của rule và chọn add, để add một Object hay Protocol.
Cấu hình Manual Static NAT
Theo sơ đồ trong hình, nyweb01 là một web server bên trong mạng, để Client bên ngoài truy cập vào và chỉ sử dụng dịch vụ web (HTTP) trên nyweb01 và khơng sử dụng bất kì dịch vụ nào khác, nên lúc này ta cấu hình static destination nat cho nyweb01 và chỉ cần chuyển đổi NAT khi Client request HTTP đến nyweb01.
Theo đó ta tạo một rule như sau:
Sau khi tạo một rule mặc định, ta thay đổi rule theo yêu cầu ở trên : 1. Original Packet:
Destination : click phải chọn add và dẫn đến nyweb01_public_add
Service: click phải chọn add và chọn HTTP
2. Translated Packet
Source : giữa nguyên theo mặc định là Original
Destination : click phải chọn add và dẫn đến nyweb01
Service: giữa nguyên theo mặc định là Original 3. Sau khi hồn tất ta có rule như sau
Vào Policy Install để cài đặt rule.
Cấu hình Manual Hide NAT
Theo sơ đồ, internal_lan là mạng nội bộ bên trong chỉ có nhu cầu truy cập một số dịch vụ thông dụng ngồi internet, do đó ta chỉ cần thực hiện NAT cho một số dịch vụ cho internal_lan.
Tạo một rule mặc định và theo yêu cầu phía trên ta, thực hiện thay đổi rule cho protocol HTTP như sau:
Sau khi tạo một rule mặc định, ta thay đổi rule theo yêu cầu ở trên : 1. Original Packet:
Source : click phải chọn add và chọn chọn đến nyfw01, ntfw01 là tên của Security Gateway. Lúc này một menu hiện ra và có 2 lực chọn:
Static : chuyển đổi theo dạng 1:1 Hide : chuyển đồi cho nhiều host
Do ta NAT cho mạng internal_lan nên ta chọn là Hide. Chọn OK.
Destination : giữa nguyên theo mặc định là Original
Service : giữa nguyên theo mặc định là Original 3. Hoàn tất tạo rule và install rule.
Sau khi tạo hồn tất rule có dạng như hình, biểu tượng nyfw01 lúc này sẽ có biểu tưởng H phía dưới, tượng trưng cho Hide NAT. Security Gateway sẽ tự động dùng IP của interface để NAT tùy theo destination IP của gói tin.