在TMG 2010中為郵件smtp選擇出口線路

今天有個朋友問我，他使用Forefront TMG 2010做防火墻，在TMG的“外網”網卡綁定了兩個IP地址（202.x.y.171、202.x.y.172），內網有臺郵件服務器，他想讓內網中的計算機，使用202.x.y.171的地址訪問Internet，讓Exchange使用202.x.y.172訪問Internet，并且將202.x.y.172的SMTP與POP3及Web端口映射給Exchange，解決辦法如下：
在Microsoft Forefront TMG 2010中，可以通過創建網絡訪問規則、并指定NAT轉換地址的方法解決，步驟如下：
（1）在Microsoft Forefront TMG 2010中，打開Forefront TMG控制臺，右擊“網絡連接”，在彈出的快捷菜單中選擇“新建→網絡規則”，如圖2所示。

（2）在“網絡規則名稱”頁，為新建的規則設置一個名稱，例如“為mail server指定出口IP”。
（3）在“源網”頁，添加郵件服務器的地址192.168.1.123
（4）在“目標網絡”頁，添加“外部”
（5）在“網絡關系”頁，選擇“網絡地址轉換（NAT）”
（6）在“NAT地址選擇”頁，選擇“使用指定的IP地址”，并且選擇要為郵件服務器指定的出口地址202.206.197.172
（7）在“正在完成新建網絡規則向導”頁，選擇“完成”
然后定位到“網絡連接→網絡規則”頁，如果新添加的規則在“Internet訪問”規則后面，則將其移動到“Internet訪問規則”前面，因為在“Internet訪問規則”中的“內部”包括了郵件服務器的地址。
如果要為“內部”網絡訪問Internet指定出口的地址，則用鼠標右擊“Internet訪問”，在彈出的快捷菜單中選擇“屬性”。

在“Internet訪問 屬性”頁，在“NAT地址選擇”選項卡，選中“使用指定的IP地址”，從中選擇出口地。

如果服務器有多個地址，你想選擇使用其中的幾個，可以選擇“使用多個IP地址”選擇選擇，這些不一一介紹。
設置之后，單擊“應用”按鈕，保存設置。
【說明】創建“網絡規則”這一功能，在Forefront TMG的上一個產品ISA Server中已經存在，但選擇NAT地址，則是Forefront TMG的新增功能。在本文的基礎上，舉一反三，可以實現更多高階應用，例如：
（1）單位有多個IP地址，在你的網絡中有多個VLAN，你可以創建多個訪問規則，讓不同的VLAN用戶，使用不同的進出口地址。
（2）單位有多條線路，例如存在電信、聯通、教育網線路，在你的內網有多個服務器，有的服務器需要映射成電信的地址（發布到Internet，供電信用戶訪問），而有的服務器需要映射成教育網地址（發布到Internet，供教育網用戶訪問），你可以創建多個訪問規則，讓不同的服務器，使用不同線路的IP地址。
【注意】在創建訪問規則時，如果有地址“重合”現象，則需要將具體的地址調整到前面，將范圍大的地址調整到后面。

---