iptable 中 nat 和端口转发的奇怪行为

我有几个专用服务器托管在几个数据中心，我想迁移邮件（pop3，映射，简体中文:以及它们的 TLS/SSL 变体）服务从一台服务器迁移到另一台服务器。

为此，我打算暂时安装一个NAT将新服务器的路由到旧服务器以处理 DNS 传播时间。

所以我定义了以下内容IP表规则：

iptables -t nat -A PREROUTING -p tcp -m tcp --dport 25  -j DNAT --to-destination <my_remote_ip>:8025
iptables -t nat -A PREROUTING -p tcp -m tcp --dport 110 -j DNAT --to-destination <my_remote_ip>
iptables -t nat -A PREROUTING -p tcp -m tcp --dport 143 -j DNAT --to-destination <my_remote_ip>
iptables -t nat -A PREROUTING -p tcp -m tcp --dport 465 -j DNAT --to-destination <my_remote_ip>:8465
iptables -t nat -A PREROUTING -p tcp -m tcp --dport 587 -j DNAT --to-destination <my_remote_ip>:8587
iptables -t nat -A PREROUTING -p tcp -m tcp --dport 993 -j DNAT --to-destination <my_remote_ip>
iptables -t nat -A PREROUTING -p tcp -m tcp --dport 995 -j DNAT --to-destination <my_remote_ip>
iptables -t nat -A POSTROUTING -d <my_remote_ip> -p tcp -m tcp --dport 110  -j SNAT --to-source <my_local_ip>
iptables -t nat -A POSTROUTING -d <my_remote_ip> -p tcp -m tcp --dport 143  -j SNAT --to-source <my_local_ip>
iptables -t nat -A POSTROUTING -d <my_remote_ip> -p tcp -m tcp --dport 993  -j SNAT --to-source <my_local_ip>
iptables -t nat -A POSTROUTING -d <my_remote_ip> -p tcp -m tcp --dport 995  -j SNAT --to-source <my_local_ip>
iptables -t nat -A POSTROUTING -d <my_remote_ip> -p tcp -m tcp --dport 8025 -j SNAT --to-source <my_local_ip>:25
iptables -t nat -A POSTROUTING -d <my_remote_ip> -p tcp -m tcp --dport 8465 -j SNAT --to-source <my_local_ip>:465
iptables -t nat -A POSTROUTING -d <my_remote_ip> -p tcp -m tcp --dport 8587 -j SNAT --to-source <my_local_ip>:587

iptables -A FORWARD -d <my_remote_ip> -i eth0 -o eth0 -p tcp -m tcp --dport 110  -j ACCEPT
iptables -A FORWARD -d <my_remote_ip> -i eth0 -o eth0 -p tcp -m tcp --dport 143  -j ACCEPT
iptables -A FORWARD -d <my_remote_ip> -i eth0 -o eth0 -p tcp -m tcp --dport 993  -j ACCEPT
iptables -A FORWARD -d <my_remote_ip> -i eth0 -o eth0 -p tcp -m tcp --dport 995  -j ACCEPT
iptables -A FORWARD -d <my_remote_ip> -i eth0 -o eth0 -p tcp -m tcp --dport 8025 -j ACCEPT
iptables -A FORWARD -d <my_remote_ip> -i eth0 -o eth0 -p tcp -m tcp --dport 8465 -j ACCEPT
iptables -A FORWARD -d <my_remote_ip> -i eth0 -o eth0 -p tcp -m tcp --dport 8587 -j ACCEPT
iptables -A FORWARD -s <my_remote_ip> -i eth0 -o eth0 -p tcp -m tcp --sport 110  -j ACCEPT
iptables -A FORWARD -s <my_remote_ip> -i eth0 -o eth0 -p tcp -m tcp --sport 143  -j ACCEPT
iptables -A FORWARD -s <my_remote_ip> -i eth0 -o eth0 -p tcp -m tcp --sport 993  -j ACCEPT
iptables -A FORWARD -s <my_remote_ip> -i eth0 -o eth0 -p tcp -m tcp --sport 995  -j ACCEPT
iptables -A FORWARD -s <my_remote_ip> -i eth0 -o eth0 -p tcp -m tcp --sport 8025 -j ACCEPT
iptables -A FORWARD -s <my_remote_ip> -i eth0 -o eth0 -p tcp -m tcp --sport 8465 -j ACCEPT
iptables -A FORWARD -s <my_remote_ip> -i eth0 -o eth0 -p tcp -m tcp --sport 8587 -j ACCEPT

（实际上简化了，事实上这对于 IPv4 和 IPV6 是重复的，在某些服务器上，接口可能与 eth0 不同……当然，我弄乱了实际的 IP 地址）

您可能会注意到，邮件服务仅通过 NAT，但 SMTP 相关服务也通过端口翻译，与目标服务器上的反向转换或这些端口的特定监听相关联。

这样做的理由很充分：我的托管服务提供商会监控传出的 SMTP 连接，以便检测和阻止托管在其托管的所有服务器上的垃圾邮件。但如果我将传入连接转发到 SMTP 端口到我的另一台服务器，传入垃圾邮件变成发送垃圾邮件 （从数据中心的角度来看）在它有机会被过滤之前（在目标服务器上），结果就是我的托管服务提供商立即阻止了 NAT 服务器。

因此我还必须转换端口号才能转发这些连接。

传入数据包和传出（经过 NAT 的）数据包使用相同的接口（因为这些服务器只有一个网络接口）。

实际上这或多或少是可行的，除了端口转发连接（只有这些，端口 110、143 等没有问题）有一个奇怪的行为：我第一次使用它们时它们可以工作，但如果我立即断开连接并重新连接，转发将不再起作用，我必须等待大约 1 到 3 分钟才能再次连接。

这似乎与 IP 地址有关，而与端口号无关：即使之前的连接是在端口 110（pop3，而不是端口转发），我也必须等待相同的延迟才能连接到端口 25。

我已经在几台服务器上验证过，它们都是Linux Debian Wheezy，杰西或者拉紧，并且IPv4和IPv6 （除了无法进行 IPv6 NAT 的 Wheezy）………是的，我知道 Wheezy 现在已经老了，这就是我要迁移的原因。

所有 IP 地址都是完全静态的。

是的，我已经设置了/proc/sys/net/ipv4/ip_forward（以及 IPv6 等效版本）1。

我用远程登录用于测试连接，然后我使用以下方法检查转发tcpdump。通过后者，我可以检查转发是否确实没有完成，并且不是阻止传入连接的目标服务器。

请有人能帮我找出这个 1-3 分钟阻塞延迟的原因以及如何解决它？

银杏