Eu não acho que haja algum problema, já que as conexões de entrada teriam suas próprias entradas de estado que não se sobreporiam às de saída. Seu problema é real ou apenas imaginário?
Temos uma LAN privada conectada a um firewall com vários IPs públicos a serem usados pelo SNAT para não sobrecarregar as portas em um único IP. No entanto, temos um requisito para permitir que determinadas estações de trabalho sejam acessadas externamente em portas predefinidas nas quais eles hospedam servidores.
No exemplo abaixo, a máquina A comunicou anteriormente a B um recurso disponível em 203.0.113.1:7045. No entanto, quando a máquina B inicia uma conexão com A, ela provavelmente receberá sua resposta com um IP de origem diferente do esperado (por causa do round robin SNAT).
Eu assumo que isso deve ser um problema para a máquina B, pois não seria capaz de associar corretamente o pacote para criar a conexão. Qual é a melhor solução?
iptables -t NAT -A POSTROUTING -s 10.8.4.0/24 -o eth1 -j SNAT --to-source 203.0.113.1-203.0.113-3
iptables -t NAT -A PREROUTING -i eth1 -m multiport --dports 7045:7059 -j DNAT --to-destination 10.8.4.2