Симптомы

Имеется 2 правила DNAT, в которых все условия одинаковые, кроме адресов назначения на внешних интерфейсах:

При этом на первом правиле включён SNAT, а на втором отключён.

Если генерировать трафик по второму правилу, то при записи трафика на конечном публикуемом сервере будет видно, что срабатывает SNAT, хотя на втором правиле он отключён.

Решение

Это является результатом особенности работы SNAT в DNAT. При включении галки SNAT в правиле DNAT для адреса назначения 172.25.42.172, внутрь системы спускается условие, в котором указано, что для адреса назначения 192.168.10.254 для соединений с состоянием DNAT по порту 80 необходимо выполнять SNAT, но при этом адрес назначения не учитывается. По этому поводу уже заведена задача SUM-13010.