%20%E3%82%92%E4%BD%BF%E7%94%A8%E3%81%A7%E3%81%8D%E3%81%BE%E3%81%99%E3%81%8B%3F.png)
単一の IP のポートが過負荷にならないように、SNAT に使用する複数のパブリック IP を持つファイアウォールに接続されたプライベート LAN があります。ただし、サーバーをホストする事前定義されたポートで特定のワークステーションが外部からアクセスできるようにする必要があります。
以下の例では、マシン A は以前に 203.0.113.1:7045 で利用可能なリソースを B に伝えています。ただし、マシン B が A への接続を開始すると、予想とは異なるソース IP の応答が返される可能性があります (SNAT ラウンドロビンのため)。
これはマシン B の問題であると思われます。マシン B は接続を確立するためにパケットを正しく関連付けることができないからです。最善の解決策は何でしょうか?
iptables -t NAT -A POSTROUTING -s 10.8.4.0/24 -o eth1 -j SNAT --to-source 203.0.113.1-203.0.113-3
iptables -t NAT -A PREROUTING -i eth1 -m multiport --dports 7045:7059 -j DNAT --to-destination 10.8.4.2
答え1
着信接続には発信接続と重複しない独自の状態エントリがあるため、まったく問題ないと思います。問題は現実のものですか、それとも想像上のものですか?