> Teoretic nu au cum sa se bata in cap. Si pe lista s-a mai spus ca -t > nat POSTROUTING -j SNAT nu face match decat la primul pachet din > conexiune, restul sunt aruncat de conntrack direct unde trebuie si nu > mai fac match pe regula. La fel ar trebui sa se faca si la -t nat > PREROUTING -j DNAT > Acel 'reverse dnat' de care spui ca ar trebui sa se faca intai este de > fapt conntrack-ul care trimite pachetele unde le este locul. Cel putin > eu asa am inteles, daca am gresit sa ma corecteze cineva
Corect, asta era 'the missing link' in capul meu (partea cu matchul-ul pe nat numai pentru SYN-uri). In cazul asta chiar nu au cum sa se bata cap in cap. Mersi de lamuriri tuturor. Alex
