admin 08/01/2026

Cấu hình Firewall Policy cho LAN ra Internet trên FortiGate

Series FortiGate | Giai đoạn 1 | Bài 5

🧱 Cấu hình Firewall Policy cho LAN ra Internet trên FortiGate (kèm NAT)

Đây là bước “mở Internet” cho mạng nội bộ. Dù WAN và LAN đã cấu hình đúng, nếu thiếu Firewall Policy hoặc NAT, máy trong LAN vẫn không thể truy cập Internet. Bài này giúp bạn hiểu rõ và cấu hình đúng ngay lần đầu.

⏱️ 10–15 phút 🎯 Level: Cơ bản 🧰 Dành cho: IT nội bộ / Người mới

⬅️ Bài 4: LAN & DHCP ➡️ Hoàn tất Giai đoạn 1

🧭 Vì sao phải tạo Firewall Policy?

FortiGate không cho phép traffic đi qua mặc định. Mọi lưu lượng đều phải được cho phép bằng Firewall Policy. Vì vậy, dù WAN và LAN đã “xanh lè”, PC vẫn không ra Internet nếu chưa có policy.

❌ Không có policy → traffic bị drop
❌ Có policy nhưng sai NAT → ra ngoài không được
❌ Không bật log → rất khó debug

💡 Nguyên tắc vàng: WAN + LAN chỉ là “đường”. Policy mới là “giấy phép cho xe chạy”.

🧩 Hiểu luồng LAN → WAN trong 30 giây

📥 Ingress (nguồn)

Source Interface: LAN
Source Address: LAN subnet

📤 Egress (đích)

Destination Interface: WAN
Destination Address: all
NAT: Enable

⚠️ Policy đi LAN → WAN. Đừng tạo nhầm WAN → LAN.

1️⃣ Tạo Firewall Policy LAN → WAN

Bước 1

Vào Firewall Policy

Vào Policy & Objects → Firewall Policy → Create New.

Bước 2

Khai báo nguồn (Source)

Incoming Interface: LAN
Source Address: LAN subnet (hoặc all – cho bài cơ bản)

Bước 3

Khai báo đích (Destination)

Outgoing Interface: WAN
Destination Address: all
Service: ALL

Bước 4

Bật NAT và Log

Action: Accept
NAT: Enable
Log Allowed Traffic: All Sessions

💡 Best practice: Luôn bật log ở policy đầu tiên để debug nhanh khi có sự cố.

2️⃣ NAT là gì và vì sao phải bật?

NAT giúp IP private trong LAN “đi ra Internet” bằng IP public của WAN. Nếu không bật NAT, traffic sẽ bị ISP drop.

⚠️ Lỗi rất hay gặp: Policy đúng hết nhưng quên bật NAT → không ra Internet.

🔍 Test PC ra Internet

✅ Trên PC

Mở trình duyệt → truy cập website
Ping IP ngoài (8.8.8.8)
Ping domain (google.com)

🔎 Trên FortiGate

Kiểm tra log của policy vừa tạo
Xem traffic có hit policy không

❌ Lỗi thường gặp & cách xử lý

❌ Có IP LAN nhưng không ra Internet

Chưa có Firewall Policy
Policy sai chiều (WAN → LAN)
Chưa bật NAT

❌ Không thấy log

Chưa bật Log Allowed Traffic
PC chưa hit đúng policy

❌ Ping IP được nhưng mở web không được

Kiểm tra DNS cấp cho DHCP
Kiểm tra policy có allow DNS/ALL chưa

🎉 Hoàn tất Giai đoạn 1

Chúc mừng! Bạn đã hoàn thành toàn bộ cấu hình cơ bản: WAN → LAN → DHCP → Firewall Policy. Từ đây, bạn có thể triển khai các tính năng nâng cao như Security Profile, VPN, VLAN, WiFi…