Hola a todos,

Me encuentro con un problema que no doy solucionado, y empiezo a pensar que me encuentro ante una limitación de iptables.
Paso a describirlo:

Tengo un equipo Debian haciendo de enrutador.

Por el eth0.2 recibo peticiones TCP en el puerto 10801 o 10802 y destino IP 20.0.0.2

Por el eth0.3 debo sacar los paquetes del eth0.2 transformados del siguiente modo:

Si recibo por el 10801 lo envío a la IP 20.0.0.2 puerto 10800 con dirección de origen 50.0.0.2
Si recibo por el 10802 lo envío a la IP 20.0.0.2 puerto 10800 con dirección origen 60.0.0.2

Total que se trata de un NAT de dirección origen y de puerto destino.

He conseguido que me funcionen las dos reglas por separado, pero nunca las dos a la vez. Por ejemplo con:

iptables -t nat -p tcp -A PREROUTING -d 20.0.0.2 --dport 10801 -j DNAT --to-destination 20.0.0.2:10800
iptables -t nat -p tcp -A POSTROUTING -d 20.0.0.2 --dport 10800 -j SNAT --to 50.0.0.2

Con estas reglas, si añado:

iptables -t nat -p tcp -A PREROUTING -d 20.0.0.2 --dport 10802 -j DNAT --to-destination 20.0.0.2:10800

Me saldrían todos los paquetes con origen 50.0.0.2, no hay manera de distinguir los que entran por el 10802 para ponerles origen 60.0.0.2

Entiendo que el problema es el orden del PREROUTING y del POSTROUTING.
Me imagino que lo ideal sería utilizar dos equipos Debian, el primero que haga el cambio de SOURCE y el segundo el DESTINATION, pero me resisto a creer que no pueda hacer de algún modo con un solo equipo.
He probado a poner mas adaptadores de red uniendo dos de ellos con un cable, pero los paquetes se enrutan internamente y pasan por iptables (o eso me parece).

Quizás haya algún modo combinando un loopback, no sé, ya estoy un poco perdido, cualquier idea será bienvenida.