Я использую веб-сервер за NAT. Из-за требований SSL я маршрутизирую 80 с нескольких IP-адресов WAN на единственный внутренний веб-сервер с помощью DNAT.
Теперь, когда пакеты возвращаются с веб-сервера, как я могу убедиться, что SNAT отправляет их с того же IP-адреса, который они использовали для входа в сеть nat? Нужно ли как-то отмечать соединения?
DNAT меняет IP-адрес назначения соединения на другой. Запрос отправляется на сервер DNAT. Когда пакет возвращается с веб-сервера, источник изменяется автоматически. Больше ничего добавлять не нужно.
SNAT предназначен для другого сценария. Он используется для того, чтобы определить, что пакет исходит из другого места. Это часто используется при исходящих подключениях к Интернету и не связано с использованием DNAT.
Netfilter должен автоматически обрабатывать это с помощью магии отслеживания состояния.