我们有一个专用局域网,连接到防火墙,该防火墙具有多个公共 IP,用于 SNAT,以避免单个 IP 上的端口过载。但是,我们要求允许某些工作站通过其托管服务器的预定义端口进行外部访问。
在下面的示例中,计算机 A 之前已将 203.0.113.1:7045 上的可用资源传达给 B。但是,当计算机 B 发起与 A 的连接时,它可能会收到其响应,其源 IP 可能与预期不同(由于 SNAT 循环)。
我认为这肯定是机器 B 的问题,因为它无法正确关联数据包以创建连接。最佳解决方案是什么?
iptables -t NAT -A POSTROUTING -s 10.8.4.0/24 -o eth1 -j SNAT --to-source 203.0.113.1-203.0.113-3
iptables -t NAT -A PREROUTING -i eth1 -m multiport --dports 7045:7059 -j DNAT --to-destination 10.8.4.2
答案1
我认为根本没有问题,因为传入连接会有自己的状态条目,不会与传出状态条目重叠。你的问题是真实的还是虚构的?