Na tom routeru providera, kde je eth rozhrani 192.168.1.1 SNAT bezi, myslim si. Proc by nemely fungovat dva SNATy za sebou? Principielne by to nemel byt problem podle me. Budu rad za jakekoliv nastineni problematickeho scenare. Provozuju tyhle typy konfigurace celkem bezne na ruznych mistech a technologiich a nikde jsem zatim problem nemel, krome tohoto jednoho.
Vice subnetu potrebuji kvuli oddeleni ruznych typu zarizeni (jejich urceni). Na to se routovane subnety hodi pomerne dobre.
Tak jednak - nenech se zmást, ten výsledek traceroute nic v této situaci neříká o počtu NATů, protože ty další privátní rozsahy mohou být pouze routované, nikoliv NATované (ani není důvod, aby byly, ale věřím, že může existovat "ISP", který takto funguje).
A k více NATům. Opět budu jen stručný -
http://en.wikipedia.org/wiki/Carrier-grade_NAT - tohle je velmi záludná věc, která když se neumí správně uchopit, působí velké potíže. Jinak více NATů za sebou postrádá logiku z principu věci - mezi privátními subnety ve své síti je nesmysl NATovat, čistě routované řešení je mnohem výkonnější a transparentnější.
A teď k meritu věci - zapomeň na transparentní firewall. Má různá omezení, dosti pracně se konfiguruje, a zdaleka ne každý firewall umí transparentní režim.
Nevím, jak moc jsi znalý IPv4 adresování a routingu, ale ISP ti poskytuje "velkou" /24 síť (byť privátní rozsah), tak co takhle namísto NATu "rozsekat" subnet /24 na tři menší?
Dejme tomu takhle:
192.168.1.128/26
192.168.1.64/26
192.168.1.0/26
Tyhle sítě nakonfiguruješ na svém routeru a 192.168.1.0/26 necháš jako transit k routeru providera, zbylé dvě jsou pro tvé "izolační" účely, každá zapojená k jinému interface routeru. CIDR zajistí zbytek a mělo by to fungovat jako routovaná, nikoliv NATovaná, topologie. Případně si to můžeš rozkouskovat na ještě více menších kousků, nebo můžeš pro transit vyhradit jenom /30 síť, aby ti zbylo více adres a bloků pro tvoje účely.
A proč to může fungovat?:
Tohle je routovací tabulka na routeru tvého providera platná v tuto chvíli (Cisco-like) - pochopitelně jen ta část, která nás zajímá:
RouterISP#sh ip route
....
....
192.168.1.0/24 is variably subnetted, 2 subnets, 2 masks
C 192.168.1.0/24 is directly connected, GigabitEthernet0/1
L 192.168.1.1/32 is directly connected, GigabitEthernet0/1
Tohle tam prostě je, router musí o prefixu, který ti byl přidělen, vědět. A takhle by vypadala u tebe (Cisco-like):
ManNerdsBox#sh ip route
Gateway of last resort is 192.168.1.1 to network 0.0.0.0
192.168.1.0/24 is variably subnetted, 6 subnets, 2 masks
C 192.168.1.0/26 is directly connected, GigabitEthernet0/1
L 192.168.1.2/32 is directly connected, GigabitEthernet0/1
C 192.168.1.64/26 is directly connected, GigabitEthernet0/0
L 192.168.1.65/32 is directly connected, GigabitEthernet0/0
C 192.168.1.128/26 is directly connected, GigabitEthernet0/2
L 192.168.1.129/32 is directly connected, GigabitEthernet0/2
S* 0.0.0.0/0 [1/0] via 192.168.1.1
Nebudu se pouštět do žádných "velkých akcí" ohledně CIDRu nebo route aggregation, nicméně na CISCO a Linux routerech to mám bezpečně vyzkoušené - běžně se tak segmentují sítě. Navíc tohle bude umět kdejaká krabička z Alzy nebo CZC. Pokud by ani tohle nefungovalo, je zbytečné zkoušet cokoliv dalšího z tohoto ranku - ale to nevím, co by tam musel ISP mít za security.
Závěrem si neodpustím jedno malé "šťouchnutí", ale neber si to osobně - jen konstatování

:
CDP, neboli Cisco Discovery Protocol, může běhat i v síti, která o STP (Spanning Tree Protocol) vůbec neslyšela

. A přítomnost CDP, potažmo LLDP, na routerech není nic zvláštního nebo špatného, protože umí poskytnout poměrně dosti cenné informace o zapojených sousedech, a to se mnoha případech opravdu hodí.