Я хочу найти правильную комбинацию команд iptables для решения следующих задач:
- NE являются NAT через ящик linux (используя iptables) к облаку WAN, где расположены NTP-серверы.
- Для достижения избыточности серверы NTP находятся в кластере балансировки нагрузки с одним виртуальным IP-адресом (172.30.4.245)
- Проблема состоит в том, что, когда NE запрашивают обновления NTP с использованием 172.30.4.245, ответ NTP принимается с одного из фактических IP-адресов (.200, .230 .240).
Пример:
Iptables не разрешает этот поток, что является нормальным, поскольку запрошенный и отвечающий адреса не совпадают (172.30.4.245 против 172.30.4.230):
Запрос: UDP 10.68.2.11:23445 ---> 172.30.4.245:123 (это перед NAT, конечно, после NAT источник 10.23.14.72) Ответ: UDP 172.30.4.230:123 ---> 10.23.14.72: 23445 (Ответ на адрес WAN)
Мне интересно, есть ли способ позволить iptables устанавливать поток UDP только на основе (s-port/d-port) независимо от IP-адресов и выполнять NAT обратно в LAN на основе этого.
UDP/NTP является лишь примером, почти все необходимые службы настраиваются одинаково (балансировка нагрузки в кластере).