首先默认防火墙规则中有个是REJECT嘚一条记录，你需要把你添加的那条记录放到reject那条记录的前面，那么你就会没有这个问题

通常外网DNAT访问内网SERVER内网SERV ER回包的源地址是经过另一个单独的SNAT进程的。而不属于DNAT STATIC进程的一部分
这样对于P-t-P的网络应用，就必须另设一个和DNAT相适应的SNAT
对于穿过NAT，被NAT映射改变端口号的应用也必须用一个单独的SNAT对回包的端口进行映射

上面的好象不必，做过实验了：

后来发现原来9000和9001都是端口不变的翻译只有2022是甴2022到22的翻译。

一段连续的地址这样可以实现负载平衡。每个流会被随机分配一个IP

但是端口并没有bind到本地协议栈上。所以不受本地端口資源65535的限制

这样包的源端口就被限制在了

只转换1024以上低于30000的源端口