Перенаправление портов к машинам локальной сети для пользователей локальной сети
"Классический" пример использования Сайтов Active Directory (AD) для физически удаленного местоположения, такого как филиал. Офис места размещения определяется в AD как дополнительный Сайт, чтобы управлять, как компьютеры Контроллера домена копируют данные, и клиентским компьютерным трафиком аутентификации управляют через ссылку между филиалом и основным офисом.
Сайт определяет физические сети в AD инфраструктуре. Это в отличие от логических границ, созданных Доменами, Лесами и OUs, Сайты отображаются на физические границы.
AD Сайта соответствует физическому местоположению, где одна или несколько имеющих хорошие связи подсетей TCP/IP существуют. Сайты содержат объекты под названием Подсети. То, что "имеющий хорошие связи" означает, действительно ваше дело (так как Вы управляете, какие объекты Подсети расположены, в котором объекте Сайта), но, вообще говоря, Сайты должны содержать Подсети, которые соединены при скоростях сети LAN (10Mb/sec или быстрее). Сайты подключены друг к другу с объектами под названием Ссылки Сайта. Ссылки сайта (которым использовали метрику "Стоимости" для рейтинга их относительной скорости или желательности для использования) представляют соединения WAN, которые взаимосвязывают LAN, содержавшую на Сайтах.
Сайты позволяют DC сформировать топологии репликации, которые допускают быструю репликацию данных между DCS в том же Сайте и в то же время сформировать топологии репликации, которые выбирают DC точками репликации "плацдарма" в концах более медленных схем WAN, соединяющих Сайты вместе. Этот механизм заставляет репликацию течь между Сайтами (по Ссылкам Сайта) только однажды, таким образом, делая эффективное использование пропускной способности WAN.
Сайты позволяют клиентским компьютерам посредством использования их собственного IP-адреса определить местоположение Сайта, в котором Подсеть они - часть, расположен, для определения местоположения DC для обслуживания входов в систему, который находится "рядом" в сети - на их собственной LAN или LAN рядом, а не через mucher более медленная схема WAN.
Microsoft имеет более подробное объяснение здесь, но я думаю, что я сказал выше, tl; версия доктора.
Вы правы, что пакеты будут отправлены обратно на адрес источника, а не через 192.168.0.1.
iptables -t nat -A POSTROUTING -p tcp --dport 25 -j SNAT --to-source 192.168.0.1
В этом случае все соединения будут исходить из 192.168.0.1, если они отправятся через него, и пакеты будут возвращаться тем же путем.
Одним из недостатков этого может быть то, что реальный сервер не знает исходный IP-адрес.
Если исходный IP-адрес является проблемой, можно создать отдельную подсеть (скажем, 192.168.220.0/30 - маска разрешит только IP-адреса 1 и 2) и перенаправить трафик через нее,