É uma opção, e na verdade não haveria o problema da rastreabilidade pois o binat não traduz a conexão entrante. O servidor interno "vê" a conexão vindo do IP válido que a originou.
No entanto, um simples DNAT usado com CONMARK bem configurados resolve o problema, e dentro do Linux/Iptables. Fábio, por favor poste aqui as regras iptables relevantes que está usando para sabermos o que está errado. Tom Lobato www.tinecon.com.br Rafael Ganascim escreveu: > Você precisa do conceito do BINAT, vindo do PF do OpenBSD.... > > Tem que realizar o DNAT de fora para dentro e um SNAT do servidor para > a rede interna (SNAT de um IP exclusivo interno para o link WAN2). A > volta, pacotes destinados ao IP de NAT da WAN2 saem pelo link correto, > pela marcação de pacotes. > > Ida do pacote: > WAN2 -> IP PUBLICO FIREWALL -> DNAT p/ REDE INTERNA -> SNAT p/ REDE > INTERNA -> IP INTERNO > > Volta do pacote > IP INTERNO -> IP DE SNAT do FIREWALL -> SNAT p/ IP PUBLICO -> > MARCACAO DE PACOTES -> WAN2 > > O grande problema disto é que você perde a rastreabilidade dos > acessos, pois no seu servidor interno todas as requisições chegam como > sendo o IP interno do firewall. > -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]