(Áp dụng cho các model DrayTek Vigor2912 / 2133n / 2925 / 2926 / 2927/ 2952/ 2962/  3220 / 3910 sử dụng hệ HĐH DrayOS

Khi mở port Server cho phép các chi nhánh, hoặc bên ngoài truy cập, đồng nghĩa với việc chấp nhận nguy cơ kém bảo mật, thất thoát thông tin, bị tấn công,… Tuy nhiên người quản trị vẫn có thể hạn chế một phần bằng các cách sau:

  1. Sử dụng tính năng Port Redirection để đổi port
  2. Chỉ cho phép một vài IP bên ngoài internet truy cập dịch vụ NAT (áp dụng khi các chi nhánh có IP tĩnh) 
  3. Chỉ cho phép các IP Việt Nam truy cập dịch vụ NAT

Thực hiện

Cách 1: Sử dụng tính năng Port Redirection để Ẩn port cần NAT

Tính năng port Redirection cho phép NAT chuyển đổi từ Public port về Private port. Từ đó chúng ta có thể sử dụng tính năng này để đánh lừa, và che giấu port thực tế cần NAT, tăng khả độ bảo mật hệ thống

Vào NAT >> Port Redirection, chọn 1 index

  • Chọn Enable
  • Mode: Chọn Single
  • Service Name: Đặt tên dịch vụ
  • Protocol: Chọn TCP
  • WAN Interface: Chọn WAN cần NAT (Mặc định chọn ALL)
  • WAN IP: Chọn IP Public
  • Public Port: Port bên ngoài truy cập (port bên ngoài truy cập)
  • Source IP: Những IP có thể truy cập server từ bên ngoài (mặc định là Any)
  • Private IP: IP Server
  • Private Port: Port cần NAT (port Server đang sử dụng)

 

Cách 2. Chỉ cho phép một vài IP bên ngoài internet truy cập (áp dụng khi các chi nhánh có IP tĩnh)

Bước 1: Tạo IP Object cho đối tượng các IP, nhóm IP

Vào Objects Setting >> IP Object, chọn Index 1

  • Name    :Đặt tên Đối tượng
  • Interface    :Chọn Any
    • Address Type     :Single Address  Một IP
    • Start IP Address    :Điền IP tĩnh của chi nhánh (ví dụ 11.11.11.11)
  • Nhấn OK

Thực hiện tương tự cho các đối tượng còn lại

Bước 2: Add các đối tượng đã tạo vào IP group, chọn Index 1

Vào Objects Setting >> IP Group

  • Name    :Đặt tên group
  • Interface    :Chọn Any
  • Chuyển các IP Object từ bảng “Available IP Objects” sang “Selected IP Objects”
  • Nhấn OK

Bước 2. Cấu hình NAT

Trong Profile NAT, các các mục Port Redirection/ Open Port, phần Source IP chọn IP Group và chọn IP group đã cấu hình ở trênTham khảo hướng dẫn cấu hình NAT tại : https://www.anphat.vn/internet-iptv-wan-lan-nat-port-co-ban/cau-hinh-nat-port-cho-camera-web-server-va-cac-dich-vu-khac

Cách 3. Chỉ cho phép các IP Việt Nam truy cập dịch vụ NAT

Bước 1. Tạo các đối tượng IP Object cho Server

Vào Objects Setting >> IP Object, chọn Index 1

  • Name    :Đặt tên Đối tượng
  • Interface    :Chọn Any
  • Address Type     :Chọn loại đối tượng Single Address   
    • Start IP Addess : điền IP Server (ví dụ 192.168.1.10)
  • Nhấn OK

Thực hiện tương tự cho các server khác

Bước 2. Tạo nhóm đối tượng IP group cho các Server

Vào Objects Setting >> IP Group, chọn index 1

  • Name    :Đặt tên group
  • Interface    :Chọn Any
  • Chuyển các IP Object từ bảng “Available IP Objects” sang “Selected IP Objects”
  • Nhấn OK

 

Bước 3: Tạo Country Object Việt Nam

Vào Objects Setting >> Country Object, chọn index 1

  • Name: Đặt tên (Ví dụ VN)
  • Available Country: kéo thanh trượt xuống và chọn country VietNam
  • Nhấn vào biểu tượng “>>”, chuyển country “VietNam” qua bảng Selected Country (có thể chọn tối đa 16 country)
  • Nhấn OK

Bước 4. Tạo rule

Cần tạo 2 Rule:

  • Rule 1: cho phép các truy cập ở Viêt Nam từ ngoài Internet truy cập vào Server
  • Rule 2: cấm các truy cập từ quốc gia khác ngoài internet truy cập vào Server

Thực hiện

Rule 1. cho phép các truy cập ở Viêt Nam từ ngoài Internet truy cập vào Server

Vào Firewall>>IP Filter>> Default Data Fileter, chọn rule 2

  • Check “ Enable ”
  • Comments    :Đặt tên rule
  • Direction    : Chọn WAN →LAN/DMZ/RT/VPN WAN
  • Source IP/Country   :Nhấn Edit
    • Address Type: chọn Country Object
    • Country Object: chọn object VN đã tạo
    • Nhấn OK
  • Destination IP / Country :Nhấn Edit
    • Address Type: chọn Group and Ojects
    • IP Group: chọn IP_group của các Server đã tạo
    • Nhấn OK
  • Filter    : Chọn Pass Immediately
  • Nhấn OK

Rule 2: cấm các truy cập từ quốc gia khác ngoài internet truy cập vào Server

Vào Firewall>>IP Filter>> Default Data Filter, chọn rule 3

  • Check “Enable”
  • Comments    :Đặt tên rule
  • Direction    : Chọn WAN →LAN/DMZ/RT/VPN WAN
  • Source IP/Country   :Chọn Any
  • Destination IP / Country :Nhấn Edit
    • Address Type: chọn Group and Ojects
    • IP Group: chọn IP_group của các Server đã tạo
    • Nhấn OK
  • Filter    : Block Immediately
  • Nhấn OK

Sau khi tạo xong ta có 2 rule như sau: