บทความนี้อธิบายวิธีตั้งค่า NAT บน Sangfor NGAF/NSF สำหรับ Mail Server เช่น Zimbra โดยใช้ SNAT + Bidirectional NAT + PBR
สิ่งที่ต้องตั้งค่า
การตั้งค่า NAT สำหรับ Mail Server ต้องทำ 3 ส่วน:
- SNAT: ให้ Mail Server ออก Internet ด้วย Public IP ที่กำหนด
- Bidirectional NAT: ให้ทั้ง WAN และ Internal เข้าถึง Mail Server ด้วย Public IP
- Policy-Based Route (PBR): บังคับให้ Traffic ของ Mail Server ออก WAN Interface ที่ถูกต้อง (กรณีมีหลาย WAN)
ขั้นตอนที่ 1: สร้าง SNAT และ Bidirectional NAT
ไปที่ Policies > NAT

SNAT (ข้อที่ 1):
- Source Zone: Internal (Mail Server Zone)
- Destination Zone: WAN
- Translate Source: Public IP ที่กำหนดให้ Mail Server

Bidirectional NAT (ข้อที่ 2):
- Source Zone: WAN และ Internal
- Destination: Public IP ของ Mail Server
- Translate Source: เป็น Public IP
- Translate Destination: จาก Public IP เป็น Private IP ของ Mail Server

ขั้นตอนที่ 2: สร้าง Policy-Based Route (กรณีมีหลาย WAN)
ไปที่ Network > Routes > Policy-Based Routes
- Source: IP ของ Mail Server
- Outbound Interface: WAN Interface ที่ Public IP ของ Mail Server อยู่

จำเป็นต้องตั้ง PBR เพราะหาก Mail Server ออกผ่าน WAN Interface ที่ไม่ตรงกับ Public IP จะทำให้ SPF/DKIM ไม่ผ่านและอีเมลถูกปฏิเสธ
หมายเหตุ
- ต้องตั้ง ทั้ง SNAT และ Bidirectional NAT — SNAT ให้ Mail Server ส่งอีเมลออกด้วย Public IP ที่ถูกต้อง ส่วน Bidirectional NAT ให้คนภายนอกและภายในเข้าถึง Mail Server ด้วย Public IP เดียวกัน
- PBR จำเป็นเมื่อมี หลาย WAN และ Public IP ของ Mail Server ไม่ได้อยู่ที่ Default Route Interface
- ต้องสร้าง Application Control Policy อนุญาต Traffic ที่เกี่ยวข้อง (SMTP Port 25/587, IMAP Port 993, POP3 Port 995)
ข้อคิดเห็น
0 ข้อคิดเห็น
โปรด ลงชื่อเข้าใช้ เพื่อแสดงข้อคิดเห็น