>Как видно, 1-й пакет - это eth1 -> eth0, 2-й пакет - это internet -> eth0 и 3-й пакет - это eth0 -> eth1. Пакета eth0 -> internet не видим, т.к. он идет уже с другим (наченным) сорцом.Я не понимаю, что тут происходит, но не совсем то, что вы описываете. internet->eth0 попадают в tcpdump с destination address вашего шлюза, а не локального хоста, отфильтровываются правилом host 10.4.1.1 и не отображаются. Так что пакет 2-3 пойман именно на eth1, а вот почему два раза - не имею представления.
>А вот "левые":
>23:10:21.620912 IP (tos 0x0, ttl 254, id 65259, offset 0, flags [none], proto 6, length: 40) 10.4.1.1.1214 > 66.35.253.228.80: R [tcp sum ok] 840041806:840041806(0) win 4096
>23:10:21.620975 IP (tos 0x0, ttl 253, id 65259, offset 0, flags [none], proto 6, length: 40) 10.4.1.1.1214 > 66.35.253.228.80: R [tcp sum ok] 840041806:840041806(0) win 4096
>
>1-й: eth1 -> eth0
>2-й: eth0 -> internet, т.е. нат не сработал
А это, соответственно, ответ клиента - RST-пакет в ответ на пришедший SYN-пакет, пойманный на интерфейсе eth1, но опять отображенный дважды. Предполагаю что он затем успешно "занатен", но мы этого опять же не видим из-за фильтра tcpdump'а.
Так что похоже на то, что нат работает, и работает правильно, а вопрос только в том, почему пакеты на eth1 отображаются дважды. Предполагаю, что вы используете vlan или еще как-то хитрите (хотелось бы увидеть вывод ifconfig и ip link). Для проверки моей догадки попробуйте слушать одновременно eth0 и eth1, но в разных сессиях и только их, а не any - думаю, все будет в порядке.
Если же все будет не в порядке, а левых интерфейсов нет, тогда все совсем странно, и приведите пожалуйста все цепочки таблицы nat.
Vlan бы все объяснил - тогда вы видите один и тот же пакет - тагированный на физическом eth1-интерфейсе и нетагированный на vlan-интерфейсе. Надеюсь, вы их используете, уж очень все сходится)
