Networking

您可以使用多個源 IP 配置 SNAT 並使用靜態 DNAT(埠轉發)嗎?

  • May 19, 2013

我們有一個私有 LAN 連接到具有多個公共 IP 的防火牆以用於 SNAT,以免使單個 IP 上的埠過載。但是,我們需要允許某些工作站可以在它們託管伺服器的預定義埠上進行外部訪問。

在下面的範例中,機器 A 先前已與 B 通信 203.0.113.1:7045 上可用的資源。但是,當機器 B 啟動到 A 的連接時,它可能會收到其響應,其源 IP 與它所期望的不同(因為 SNAT 循環)。

我認為這一定是機器 B 的問題,因為它無法正確關聯數據包以創建連接。什麼是最好的解決方案?

iptables -t NAT -A POSTROUTING -s 10.8.4.0/24 -o eth1 -j SNAT --to-source 203.0.113.1-203.0.113-3
iptables -t NAT -A PREROUTING -i eth1 -m multiport --dports 7045:7059 -j DNAT --to-destination 10.8.4.2

具有多個源 IP 和靜態 DNAT 的 SNAT

我認為根本沒有問題,因為傳入的連接會有自己的狀態條目,不會與傳出的條目重疊。你的問題是真實的還是想像的?

引用自:https://serverfault.com/questions/509057