%3F.png)
Temos uma LAN privada conectada a um firewall com vários IPs públicos para usar no SNAT para não sobrecarregar as portas em um único IP. No entanto, temos um requisito para permitir que determinadas estações de trabalho sejam acessíveis externamente em portas predefinidas nas quais hospedam servidores.
No exemplo abaixo, a máquina A comunicou previamente a B um recurso disponível em 203.0.113.1:7045. No entanto, quando a máquina B inicia uma conexão com A, ela provavelmente receberá sua resposta com um IP de origem diferente do esperado (por causa do round robin SNAT).
Presumo que isso seja um problema para a máquina B, pois ela não seria capaz de associar corretamente o pacote para criar a conexão. Qual é a melhor solução?
iptables -t NAT -A POSTROUTING -s 10.8.4.0/24 -o eth1 -j SNAT --to-source 203.0.113.1-203.0.113-3
iptables -t NAT -A PREROUTING -i eth1 -m multiport --dports 7045:7059 -j DNAT --to-destination 10.8.4.2
Responder1
Não creio que haja problema algum, já que as conexões de entrada teriam suas próprias entradas de estado que não se sobreporiam às de saída. O seu problema é real ou apenas imaginário?