%EB%A5%BC%20%EC%82%AC%EC%9A%A9%ED%95%A0%20%EC%88%98%20%EC%9E%88%EC%8A%B5%EB%8B%88%EA%B9%8C%3F.png)
단일 IP의 포트에 과부하가 걸리지 않도록 SNAT에 사용할 여러 공용 IP가 있는 방화벽에 연결된 개인 LAN이 있습니다. 그러나 특정 워크스테이션이 서버를 호스팅하는 사전 정의된 포트를 통해 외부적으로 액세스할 수 있도록 허용해야 한다는 요구 사항이 있습니다.
아래 예에서 머신 A는 이전에 203.0.113.1:7045에서 사용 가능한 리소스를 B에 전달했습니다. 그러나 머신 B가 A에 대한 연결을 시작하면 예상한 것과 다른 소스 IP로 응답을 받을 가능성이 높습니다(SNAT 라운드 로빈으로 인해).
나는 연결을 생성하기 위해 패킷을 올바르게 연결할 수 없기 때문에 이것이 머신 B의 문제라고 가정합니다. 가장 좋은 해결책은 무엇입니까?
iptables -t NAT -A POSTROUTING -s 10.8.4.0/24 -o eth1 -j SNAT --to-source 203.0.113.1-203.0.113-3
iptables -t NAT -A PREROUTING -i eth1 -m multiport --dports 7045:7059 -j DNAT --to-destination 10.8.4.2
답변1
들어오는 연결에는 나가는 연결과 겹치지 않는 자체 상태 항목이 있기 때문에 전혀 문제가 없다고 생각합니다. 당신의 문제는 실제인가 아니면 단지 상상에 불과한 것인가?