Отношения сетевых правил

Отношения маршрутизации являются двунаправленными. Например, если сетевое правило определяет отношение маршрутизации из сети А в сеть В, то также существует подразумеваемое отношение маршрутизации из сети В в сеть А. Запросы клиентов из сети источника или пункта назначения перенаправляются в другую сеть без изменения IP-адресов источника и пункта назначения. Используйте отношение маршрутизации, когда не требуется скрывать IP-адреса между сетями. Это общая конфигурация между двумя сетями с общими IP-адресами или между двумя сетями с частными адресами. и в том, и в другом случае узлы в каждой сети должны определять IP-адрес Forefront TMG в своей локальной сети как маршрут к другой сети. Во многих случаях достаточно определения IP-адреса Forefront TMG как шлюза по умолчанию. При создании правил доступа или правил публикации сервера отношение маршрутизации влияет на трафик следующим образом.

• При использовании правил доступа Forefront TMG пересылает трафик, сохраняя IP-адреса источника и пункта назначения.
  
  
• При использовании правил публикации сервера Forefront TMG пересылает трафик, как и в случае правил доступа, но непосредственно использует фильтры приложения. Например, фильтр протокола SMTP не используется для SMTP-трафика, обрабатываемого правилом доступа, а используется с трафиком, обрабатываемым правилом публикации сервера. Дополнительные сведения см. в разделе Отношения сетей и политика межсетевого экрана.
  
  

Отношения NAT между сетями являются однонаправленными. Трафик передается согласно источнику или пункту назначения трафика. Forefront TMG выполняет преобразование сетевых адресов следующим образом.

• В правилах доступа Forefront TMG заменяет клиентский IP-адрес в сети источника на IP-адрес Forefront TMG по умолчанию для сети назначения. Например, если создается отношение NAT в сетевом правиле между Внутренней сетью и Внешней сетью, IP-адрес источника запроса из Внутренней сети будет заменен IP-адресом по умолчанию сетевого адаптера Forefront TMG, подключенного к Внешней сети. Правила доступа, которые управляют передачей трафика между сетями, определенные с отношением NAT, могут использовать только сеть источника, указанную на вкладке Откуда, и сеть назначения, указанную на вкладке Куда правила.
  
  
• В правилах публикации сервера клиент в сети назначения создает подключение к IP-адресу Forefront TMG, на котором правило публикации прослушивает запросы. Когда Forefront TMG пересылает трафик опубликованному серверу, он заменяет IP-адрес Forefront TMG на IP-адрес внутреннего сервера, который публикует, но не изменяет IP-адрес источника. Обратите внимание: в отношении NAT правила публикации сервера могут только получать доступ к сети, указанной как сеть назначения. Кроме того, поскольку публикация сервера через сети с NAT оставляет IP-адрес источника нетронутым при перенаправлении трафика опубликованному серверу, опубликованный сервер должен использовать компьютер Forefront TMG на последнем этапе в схеме маршрутизации к сети назначения. Если это невозможно, настройте правила публикации сервера для использования параметра Запросы поступили от компьютера Forefront™ TMG. Это приведет к тому, что Forefront TMG выполняет полное преобразование NAT для трафика, обрабатываемого по этому правилу. Дополнительные сведения см. в разделе Отношения сетей и политика межсетевого экрана.