%3F.png)
Tenemos una LAN privada conectada a un firewall con múltiples IP públicas para usar con SNAT para no sobrecargar los puertos en una sola IP. Sin embargo, tenemos el requisito de permitir que ciertas estaciones de trabajo sean accesibles externamente en puertos predefinidos en los que alojan servidores.
En el siguiente ejemplo, la máquina A ha comunicado previamente a B un recurso disponible en 203.0.113.1:7045. Sin embargo, cuando la máquina B inicia una conexión con A, probablemente recibirá su respuesta con una IP de origen diferente a la que espera (debido al round robin SNAT).
Supongo que esto debe ser un problema para la máquina B, ya que no podría asociar correctamente el paquete para crear la conexión. ¿Cuál es la mejor solución?
iptables -t NAT -A POSTROUTING -s 10.8.4.0/24 -o eth1 -j SNAT --to-source 203.0.113.1-203.0.113-3
iptables -t NAT -A PREROUTING -i eth1 -m multiport --dports 7045:7059 -j DNAT --to-destination 10.8.4.2
Respuesta1
No creo que haya ningún problema ya que las conexiones entrantes tendrían sus propias entradas de estado que no se superpondrían con las salientes. ¿Su problema es real o simplemente imaginario?