×
ข้ามไปยังเนื้อหาหลัก

การตั้งค่า SNAT/DNAT บน IAG

ปรับปรุงเมื่อ

บทนำ

SNAT (Source Network Address Translation) และ DNAT (Destination Network Address Translation) เป็นฟีเจอร์ NAT บน Sangfor IAG ที่ใช้สำหรับการแปลง IP Address ของ Traffic ที่ผ่านอุปกรณ์ ฟีเจอร์นี้ใช้งานได้เฉพาะเมื่ออุปกรณ์ถูก Deploy ในโหมด Route Mode เท่านั้น

SNAT ใช้สำหรับแปลง Source IP Address ของ Traffic จาก Intranet ไปยัง Internet เช่น เมื่อผู้ใช้งานใน LAN ต้องการเข้าถึง Internet ผ่าน IAG ระบบจะแปลง Source IP ของผู้ใช้เป็น IP ของ WAN Interface

DNAT ใช้สำหรับเผยแพร่ Server ภายใน Intranet ไปยัง Public Network เพื่อให้ผู้ใช้งานจาก Internet สามารถเข้าถึง Service ของ Server ภายในได้ โดยแปลง Destination IP จาก Public IP ไปเป็น Private IP ของ Server

ข้อกำหนดเบื้องต้น

  • เข้าถึง Web Console ของ Sangfor IAG ด้วยสิทธิ์ Administrator
  • อุปกรณ์ IAG ถูก Deploy ในโหมด Route Mode
  • สำหรับ SNAT: ทราบ Source IP Range ของ Intranet Users
  • สำหรับ DNAT: ทราบ IP Address ของ Server ภายใน, Port ที่ให้บริการ และ Public IP ที่ต้องการ Map

ขั้นตอนการตั้งค่า IPv4 SNAT

ส่วนที่ 1: สร้าง SNAT Rule

  1. เข้าสู่ระบบ Web Console ของ Sangfor IAG
  2. ไปที่เมนู System > Firewall
  3. คลิกแท็บ IPv4 SNAT
  4. คลิก Add เพื่อเพิ่ม SNAT Rule ใหม่
  5. ในหน้าต่าง IPv4 SNAT กรอกข้อมูลดังนี้:
    • Enabled: เลือกเพื่อเปิดใช้งาน Rule
    • Name: ตั้งชื่อ Rule เช่น SNAT LAN

ส่วนที่ 2: ตั้งค่า WAN Interface

  1. ในส่วน WAN Interface เลือก:
    • Any WAN interface: ใช้กับทุก WAN Interface
    • Specified: เลือก WAN Interface เฉพาะ เช่น WAN1(eth2)

ส่วนที่ 3: ตั้งค่า Source Address

  1. ในส่วน Source Address เลือก:
    • All: ไม่จำกัด Source IP
    • Specified: ระบุ Source IP Address หรือ Network Segment ที่ต้องการทำ SNAT เช่น 192.168.1.0/255.255.255.0

ส่วนที่ 4: ตั้งค่า Mapped Source IP

  1. ในส่วน Mapped Src IP เลือก:
    • WAN interface IP: แปลง Source IP เป็น IP ของ WAN Interface ที่เลือกไว้
    • Specified IP: ระบุ Start IP และ End IP ที่ต้องการแปลง Source IP ไปเป็น

ส่วนที่ 5: ตั้งค่า Advanced (ตัวเลือกเพิ่มเติม)

  1. คลิก Advanced เพื่อกำหนดเงื่อนไขเพิ่มเติม:
    • Destination Address: กำหนด Destination IP ที่ต้องการ Match
    • Protocol: กำหนด Protocol (TCP/UDP) และ Source Port, Destination Port
  2. คลิก Commit เพื่อบันทึก SNAT Rule

ขั้นตอนการตั้งค่า IPv4 DNAT

ส่วนที่ 1: สร้าง DNAT Rule (Basic Rule)

  1. คลิกแท็บ IPv4 DNAT
  2. คลิก Add แล้วเลือก Basic Rule (สำหรับการตั้งค่าพื้นฐาน) หรือ Advanced Rule (สำหรับการตั้งค่าขั้นสูง)
  3. สำหรับ Basic Rule กรอกข้อมูลดังนี้:
    • Enabled: เลือกเพื่อเปิดใช้งาน
    • Name: ตั้งชื่อ Rule เช่น HTTP Service
    • Protocol: เลือก Protocol เช่น TCP
    • Dst Port: ระบุ Destination Port ที่ต้องการ เช่น 80 (สำหรับ HTTP)
    • Mapped IP: ระบุ IP Address ของ Server ภายใน เช่น 192.168.1.2
    • Mapped Port: ระบุ Port ของ Server ภายใน เช่น 80
    • Allow: เลือกเพื่อให้ Firewall อนุญาต Traffic โดยอัตโนมัติ
  4. คลิก Commit เพื่อบันทึก
IPv4 DNAT Basic Rule configuration dialog

ส่วนที่ 2: สร้าง DNAT Rule (Advanced Rule)

  1. คลิก Add แล้วเลือก Advanced Rule
  2. กรอกข้อมูลเพิ่มเติม:
    • WAN Interface: เลือก Any WAN interface หรือ Specified interface
    • Source Address: กำหนด Source IP ที่อนุญาตให้เข้าถึง (All หรือ Specified)
    • Destination Address: กำหนด Destination IP (All, Specified หรือ Specified interface IP)
    • Protocol: เลือก Protocol, Src Port และ Dst Port
    • Mapped IP: ระบุ IP ของ Server ภายใน (Specified IP หรือ Interface IP)
    • Mapped Port: ระบุ Port ของ Server ภายใน
  3. เลือก Allow firewall automatically allows data เพื่อให้ Firewall เปิด Port โดยอัตโนมัติ
  4. คลิก Commit เพื่อบันทึก

การตรวจสอบ

  • สำหรับ SNAT: ทดสอบการเข้าถึง Internet จากเครื่องใน Intranet แล้วตรวจสอบว่า Source IP ถูกแปลงเป็น IP ของ WAN Interface หรือ Specified IP ที่กำหนด
  • สำหรับ DNAT: ทดสอบการเข้าถึง Service จาก Internet โดยใช้ Public IP และ Port ที่กำหนด แล้วตรวจสอบว่า Traffic ถูก Forward ไปยัง Server ภายในถูกต้อง
  • ตรวจสอบว่า SNAT/DNAT Rule แสดงในรายการพร้อม Status เป็น Enable

หมายเหตุ

  • NAT Settings (SNAT/DNAT) ใช้งานได้เฉพาะเมื่ออุปกรณ์ Deploy ในโหมด Route Mode เท่านั้น
  • เมื่อสร้าง DNAT Rule ด้วย Basic Rule และเลือก Allow ระบบจะสร้าง Firewall Rule เพื่ออนุญาต Traffic ผ่าน 6 Direction โดยอัตโนมัติ ได้แก่ LAN<->WAN, DMZ<->WAN และ LAN<->DMZ
  • Rule ที่มี Priority น้อยกว่าจะถูกประมวลผลก่อน สามารถใช้ Move Up/Move Down เพื่อเปลี่ยนลำดับ
  • หลังจากสร้าง SNAT Rule ควรตรวจสอบว่ามี Firewall Rule ที่อนุญาต Traffic จาก LAN ไปยัง WAN ด้วย
  • สำหรับ Advanced DNAT Rule สามารถกำหนด Source Address เพื่อจำกัดว่าเฉพาะ IP บางกลุ่มเท่านั้นที่เข้าถึง Server ภายในได้

บทความที่เกี่ยวข้อง

ข้อคิดเห็น

0 ข้อคิดเห็น

โปรด ลงชื่อเข้าใช้ เพื่อแสดงข้อคิดเห็น