Tweet
Static PAT – Giải pháp chia sẻ IP công cộng khi nhiều dịch vụ nội bộ cần publish
Trong nhiều mạng doanh nghiệp, số lượng địa chỉ IP công cộng (public IP) được cấp thường rất hạn chế, trong khi có nhiều dịch vụ khác nhau cần phải publish ra Internet. Để giải quyết tình huống này, kỹ thuật Static PAT được sử dụng, trong đó số hiệu cổng dịch vụ (port) sẽ trở thành một phần của định nghĩa NAT. Khi nào dùng Static PAT?
Static PAT thường được áp dụng khi:
Ví dụ:
Như vậy, chỉ với một public IP (192.0.2.1), firewall vẫn cho phép nhiều dịch vụ nội bộ khác nhau được truy cập từ Internet. Dịch port dịch vụ
Static PAT không chỉ ánh xạ IP mà còn có thể dịch port:
Điều này giúp giữ nguyên trải nghiệm của người dùng (không cần gõ http://public:8080) đồng thời linh hoạt cho quản trị viên. Giới hạn cần lưu ý
👉 Kết luận: Static PAT là kỹ thuật “cứu cánh” khi bạn chỉ có một hoặc rất ít public IP nhưng cần publish nhiều dịch vụ khác nhau. Đây là giải pháp rất phổ biến trong SMB, chi nhánh, hoặc những nơi tiết kiệm địa chỉ IPv4 công cộng.
Trong nhiều mạng doanh nghiệp, số lượng địa chỉ IP công cộng (public IP) được cấp thường rất hạn chế, trong khi có nhiều dịch vụ khác nhau cần phải publish ra Internet. Để giải quyết tình huống này, kỹ thuật Static PAT được sử dụng, trong đó số hiệu cổng dịch vụ (port) sẽ trở thành một phần của định nghĩa NAT. Khi nào dùng Static PAT?
Static PAT thường được áp dụng khi:
- Có nhiều dịch vụ ứng dụng khác nhau (HTTP, FTP, Mail, VPN…) nhưng chỉ có một địa chỉ public duy nhất.
- Muốn phân biệt dịch vụ dựa trên port thay vì phải có nhiều public IP.
- Mạng nhỏ, tất cả lưu lượng Internet sẽ đi qua địa chỉ Outside Interface của firewall, còn public DNS sẽ trỏ toàn bộ traffic về địa chỉ này.
- Mỗi rule Static PAT gắn với một cặp: địa chỉ IP thật (inside real IP) + port dịch vụ.
- Firewall sẽ kiểm tra destination IP + destination port trong gói tin. Nếu khớp với rule Static PAT, nó sẽ dịch đến đúng server nội bộ tương ứng.
Ví dụ:
- Web server nội bộ (172.16.8.22, TCP/80) được publish qua địa chỉ outside 192.0.2.1, port 80.
- FTP server nội bộ (172.16.8.11, TCP/21) cũng dùng địa chỉ outside 192.0.2.1 nhưng khác port (21).
Như vậy, chỉ với một public IP (192.0.2.1), firewall vẫn cho phép nhiều dịch vụ nội bộ khác nhau được truy cập từ Internet. Dịch port dịch vụ
Static PAT không chỉ ánh xạ IP mà còn có thể dịch port:
- Ví dụ: web service nội bộ chạy ở port 8080.
- Người dùng Internet vẫn truy cập bằng port chuẩn 80 → firewall dịch thành 8080 đến server.
Điều này giúp giữ nguyên trải nghiệm của người dùng (không cần gõ http://public:8080) đồng thời linh hoạt cho quản trị viên. Giới hạn cần lưu ý
- Nếu sử dụng địa chỉ của interface firewall để NAT, các port mà firewall đang dùng (ví dụ SSH – TCP/22, HTTPS – TCP/443 cho quản trị) sẽ không thể sử dụng cho Static PAT.
- Cần quản lý kỹ bảng NAT để tránh conflict giữa rule PAT và các dịch vụ quản trị firewall.
👉 Kết luận: Static PAT là kỹ thuật “cứu cánh” khi bạn chỉ có một hoặc rất ít public IP nhưng cần publish nhiều dịch vụ khác nhau. Đây là giải pháp rất phổ biến trong SMB, chi nhánh, hoặc những nơi tiết kiệm địa chỉ IPv4 công cộng.
Attached Files