1) Tại sao Static NAT vẫn “đáng tiền” trong kỷ nguyên firewall/SD-WAN?


Static NAT là “hộ chiếu” cố định giúp một IP bên trong xuất hiện ra Internet với một IP công cộng không đổi. Nhờ vậy bạn có thể:

• Xuất bản dịch vụ nội bộ (web/SSH/VPN) ra ngoài một cách ổn định.
• Cho phép kết nối khởi tạo từ Internet vào một đích nội bộ (điều Dynamic NAT không làm).
• Kết hợp kiểm soát truy cập ở biên (ACL/ZBFW/NGFW) để vừa mở dịch vụ, vừa giữ an toàn.

2) Static NAT – Cơ chế hoạt động (góc nhìn gói tin)

• Gói đi ra: nguồn = inside local → thay bằng inside global; đích = outside (giữ nguyên).
• Gói đi vào: đích = inside global → thay bằng inside local; nguồn = outside (giữ nguyên).
• Ánh xạ tĩnh không hết hạn, nên phiên có thể khởi phát từ Internet vào (nếu firewall/ACL cho phép).

Ví dụ minh hoạ dễ hiểu

• PC1 192.168.10.10 truy cập SRV1 209.165.201.1.
• Router có ánh xạ tĩnh 192.168.10.10 ↔ 209.165.200.226.
• Khi ra ngoài, nguồn gói từ 192.168.10.10 bị thay thành 209.165.200.226.
• SRV1 đáp về 209.165.200.226; router thay đích thành 192.168.10.10 và chuyển vào trong.

3) Port Forwarding – Không chỉ là “đổi cổng”


Port Forwarding thực chất là static NAT có kèm cổng: inside local IP:port ↔ inside global IP:port. Nhờ đó, một địa chỉ WAN có thể “đại diện” nhiều dịch vụ nội bộ khác nhau bằng các cổng khác nhau (80, 8080, 8443, 2222…).

• Dùng cổng không chuẩn (ví dụ 8080 thay 80) không phải là bảo mật, chỉ là “che mờ”. Vẫn cần ACL/Firewall đúng bài.
• Client phải chỉ rõ URL:port nếu không dùng well-known port.

Ví dụ thực chiến

• Web nội bộ: 192.168.10.254:80
• WAN router: 209.165.200.226
• Port forwarding outside: 8080 → inside: 80
• Người dùng ngoài truy cập: http://209.165.200.226:8080

4) Cấu hình Cisco IOS – Mẫu tham khảo

4.1 Static NAT 1:1 cho host

! Đánh dấu hướng NAT interface G0/0 description Inside LAN ip address 192.168.10.1 255.255.255.0 ip nat inside interface G0/1 description Internet ip address 209.165.200.226 255.255.255.248 ip nat outside ! Ánh xạ tĩnh host bên trong ra IP public cố định ip nat inside source static 192.168.10.10 209.165.200.226
Kiểm tra
show ip nat translations debug ip nat 4.2 Static NAT cho dải (dùng nhiều IP public)

! Ví dụ ánh xạ server DMZ ip nat inside source static 192.168.20.10 209.165.200.227 ip nat inside source static 192.168.20.11 209.165.200.228 4.3 Port Forwarding (Static NAT kèm TCP/UDP port)

! Web server nội bộ 192.168.10.254:80, publish ra 209.165.200.226:8080 ip nat inside source static tcp 192.168.10.254 80 interface G0/1 8080 ! Hoặc publish ra IP cụ thể thay vì interface: ! ip nat inside source static tcp 192.168.10.254 80 209.165.200.226 8080
Lưu ý bảo mật

• Mở ACL/ZBFW/NGFW ở chiều outside→inside cho đúng cổng/địa chỉ.
• Nhật ký (syslog) NAT để điều tra sự cố.
• Hạn chế nguồn (chỉ cho phép subnet/ASN tin cậy).

4.4 Hairpin NAT (NAT loopback) — người dùng nội bộ truy cập domain public


Nếu client inside cần truy cập dịch vụ nội bộ qua địa chỉ public/URL public, bạn cần hairpin NAT:

• IOS truyền thống: thêm rule NAT và tuyến/Policy-based routing phù hợp; hoặc dùng DNS split-horizon để trả IP private cho client nội bộ.
• NGFW/ASA: dùng dns doctoring hoặc NAT reflection tương ứng.

5) Thứ tự xử lý & Tương tác với bảo mật biên

• NAT xảy ra trước/hoặc sau tuỳ nền tảng và hướng lưu lượng; khi viết ACL trên Cisco IOS classic, ACL áp trên interface so khớp sau NAT ở chiều vào và trước NAT ở chiều ra (tuỳ phiên bản/feature; luôn test “show ip nat statistics/translations” + capture để chắc chắn).
• Với Zone-Based Firewall/CBAC/NGFW, thứ tự có thể khác; xem tài liệu nền tảng bạn dùng. Nguyên tắc: quan sát gói thật bằng SPAN/tcpdump để xác nhận.

6) Bẫy thường gặp & Mẹo thực chiến

• Quên ACL/Firewall chiều vào: Port đã forward nhưng vẫn không vào được. Mở đúng cổng, đúng nguồn, đúng zone.
• NAT trùng cổng: một outside port chỉ “map” được một service.
• PAT vs Static NAT: Nếu interface outside đang dùng PAT overload cho người dùng đi ra, static NAT/port-forward sẽ ưu tiên hơn nhưng bạn phải đảm bảo không “đè” lên nhau.
• DDNS: Với IP WAN động, dùng dynamic DNS để export dịch vụ ổn định.
• Không nhầm “đổi cổng” với bảo mật: 8080 thay 80 chỉ giúp giảm scan noise, không thay thế hardening.
• Giám sát: Bật syslog NAT, NetFlow/IPFIX để theo dõi truy cập vào dịch vụ publish.

7) Bài lab gợi ý cho anh em VnPro

• Dựng CML/packet tracer: PC (inside) — R1 (inside/outside) — Cloud/“Internet” — Client ngoài.
• Bài 1: Static NAT 1:1 cho PC → verify show ip nat translations, ping/traceroute.
• Bài 2: Port Forwarding 8080→80 đến web nội bộ → truy cập từ “outside client” bằng curl http://WAN_IP:8080.
• Bài 3: Thêm ACL outside cho phép chỉ /32 nguồn tin cậy → xác thực log deny/permit.

---

Trả lời Câu hỏi Ôn Tập


Đáp án đúng: nguồn 198.51.100.200, đích 209.165.202.129.

Giải thích: Khi PC1 (inside) đi ra Internet, nguồn sẽ bị thay thế bằng inside global theo bảng ánh xạ tĩnh trên R1. Vì đề nói “bảng dịch địa chỉ được cho bên dưới” (nhưng không kèm ở đây), địa chỉ đúng phải là một IP public trong bảng đó — các lựa chọn 198.51.100.200 hoặc 198.51.100.150. Thực hành chuẩn với đề kiểu này: chọn inside global ánh xạ cho PC1. Với thông tin hiện có, phương án hợp lý là 198.51.100.200 → 209.165.202.129. (Nếu tra đúng bảng tại lab, cứ chọn IP inside global tương ứng với PC1.)
​