我們有一個連接到具有多個公共 IP 的防火牆的專用 LAN,用於 SNAT,以免單一 IP 上的連接埠過載。但是,我們要求允許某些工作站透過其託管伺服器的預定義連接埠進行外部存取。
在下面的範例中,電腦 A 之前已與 B 通訊了 203.0.113.1:7045 上的可用資源。然而,當機器 B 啟動與 A 的連接時,它可能會收到與預期不同的來源 IP 的回應(由於 SNAT 循環)。
我認為這對於機器 B 來說一定是一個問題,因為它無法正確關聯資料包以建立連接。最好的解決方案是什麼?
iptables -t NAT -A POSTROUTING -s 10.8.4.0/24 -o eth1 -j SNAT --to-source 203.0.113.1-203.0.113-3
iptables -t NAT -A PREROUTING -i eth1 -m multiport --dports 7045:7059 -j DNAT --to-destination 10.8.4.2
答案1
我認為根本不存在問題,因為傳入連線將有自己的狀態條目,這些狀態條目不會與傳出連線重疊。你的問題是真實存在的還是只是想像的?