%20verwenden%3F.png)
Wir haben ein privates LAN, das mit einer Firewall verbunden ist und mehrere öffentliche IPs für SNAT hat, um die Ports einer einzelnen IP nicht zu überlasten. Wir müssen jedoch zulassen, dass bestimmte Arbeitsstationen über vordefinierte Ports, auf denen sie Server hosten, extern erreichbar sind.
Im folgenden Beispiel hat Maschine A B zuvor eine unter 203.0.113.1:7045 verfügbare Ressource mitgeteilt. Wenn Maschine B jedoch eine Verbindung zu A initiiert, erhält sie ihre Antwort wahrscheinlich mit einer anderen Quell-IP als erwartet (aufgrund des SNAT-Round-Robin).
Ich gehe davon aus, dass dies ein Problem für Maschine B sein muss, da diese das Paket nicht richtig zuordnen kann, um die Verbindung herzustellen. Was ist die beste Lösung?
iptables -t NAT -A POSTROUTING -s 10.8.4.0/24 -o eth1 -j SNAT --to-source 203.0.113.1-203.0.113-3
iptables -t NAT -A PREROUTING -i eth1 -m multiport --dports 7045:7059 -j DNAT --to-destination 10.8.4.2
Antwort1
Ich glaube nicht, dass es überhaupt ein Problem gibt, da eingehende Verbindungen ihre eigenen Statuseinträge hätten, die sich nicht mit ausgehenden überschneiden würden. Ist Ihr Problem real oder nur eingebildet?