1. Tổng quan.
NAT Outbound (Network Address Translation Outbound) trong pfSense là một tính năng của hệ thống để chuyển đổi địa chỉ IP nguồn của các gói tin đi ra khỏi mạng nội bộ của bạn. Tính năng này cho phép bạn giấu địa chỉ IP nội bộ của các thiết bị trong mạng nội bộ và sử dụng địa chỉ IP công cộng duy nhất để giao tiếp với các mạng bên ngoài.
Khi gói tin đi từ mạng nội bộ của bạn ra mạng công cộng (như Internet), NAT Outbound sẽ thay đổi địa chỉ IP nguồn của gói tin từ địa chỉ IP nội bộ sang địa chỉ IP công cộng của gateway hoặc địa chỉ IP công cộng đã được cấu hình trên pfSense.
NAT Outbound trong pfSense cung cấp các chế độ cấu hình khác nhau, bao gồm:
- Automatic Outbound NAT: Cho phép tự động tạo các quy tắc NAT dựa trên giao diện mạng và subnet của mạng nội bộ.
- Manual Outbound NAT: Cho phép bạn tạo các quy tắc NAT tùy chỉnh để điều chỉnh cách NAT được thực hiện.
- Hybrid Outbound NAT: Kết hợp cả chế độ Automatic và Manual để cấu hình NAT linh hoạt hơn.
Cấu hình NAT Outbound trong pfSense là một phần quan trọng để đảm bảo việc kết nối Internet và giao tiếp của các thiết bị trong mạng nội bộ diễn ra một cách đúng đắn và an toàn.
2. Thực hành.
Trước khi đi vào thực hành, bạn hãy tham khảo sơ đồ lab của mình trước.
Đầu tiên mình cho các bạn xem mình đã tạo sẵn rule cho phép toàn bộ local đi ra internet.
Và cho các bạn xem Nat Outbound của mình đang ở chế độ tự động (chế độ này mặc định). Tại phần Automatic Rules bạn sẽ nhìn thấy các rule sẽ được tự động tạo ra nếu bạn chọn Mode này.
Khi kiếm tra kết quả đi internet bạn sẽ thấy local đi internet thành công vì nó đang được hệ thống Firewall tạo ra các rule Nat Outbound tự động.
Bây giờ mình muốn Nat Outbound bằng tay nên mình sẽ chuyển qua Mode Manual Outbound Nat. Sau khi bấm Save bạn sẽ thấy các Rule tự động tạo ra bởi Firewall cũng thay đổi theo.
Mình sẽ không sử dụng các rule này vì mình muốn kiểm soát toàn bộ các rule.
Giờ mình sẽ chọn đống rules được hệ thống tạo tự động và xoá nó đi.
Hãy bấm Apply changes để áp dụng thay đổi này, bạn sẽ không còn một rule outbount nào nữa.
Sau khi xoá bạn sẽ thấy Local của mình hoàn toàn không đi được internet, thậm chí nó còn không phân giải được tên miền.
Bây giờ mình sẽ thủ công thêm 1 rule mới với ý đồ Nat subnet 172.16.101.0/24 đi ra internet.
Config của mình như dưới, cổng đại diện ra internet là cổng WAN, chọn loại IP là version 4 và 6.
Phần Protocol mình lựa chọn cho phép đi tất cả.
Về phần network mình gõ vào subnet của vlanid 101.
Các giá trị còn lại mình để default.
Sau khi bấm Save bạn sẽ có một outbount nat như dưới, hãy bấm Apply changes để áp dụng thay đổi này.
Giờ bạn vào máy tính đang sử dụng subnet 172.16.101.0/24, bạn sẽ được phép đi internet.
Tương tự mình sẽ Nat luôn cho các subnet còn lại để áp dụng cho các bài viết tiếp theo.
