Multiple PS3 issues

Hey VillainVivi,

Instead of attempting to fit two Destinations within one DNAT Rule (which won't work as you've found out), clone the DNAT Rule that you've implemented, and use the Host Definition of each PS3 respectively.

Someone who understands the underlying behavior better than I can prove if one takes precedence over the other, however, I've had success with this behavior with multiple XBox's.

Isn't the purpose of the DNAT Rule solely for being a host in multiplayer games? I could be wrong, however, I'm curious now if it changes the NAT Type from 2 to 3 if you disable it. I may experiement tonight. Until then, I shake my fist at UPnP! [:D]

Multiple devices behind a single static WAN IP is not really a short coming of the firewall, or even perhaps your rules on the firewall.
It's more of a shortcoming of IPv4.

When something comes into your network from the internet, it is coming in with a destination of your WAN IP, and then the service port it needs to talk to.  

So, if you create a game, it will tell everyone that wants to connect, to connect to your WAN IP, using the given service port.  Once it hits your WAN, DNAT translates the WAN IP to whatever the internal destination IP is.  You see this same type of issue when someone wants to host multiple websites on different hosts, behind a single IP.  Because all web requests come in on port 80, the firewall doesn't generally look into the packets to determine what website it is trying to go to.  www1.whatever.com vs www2.whatever.com.  Usually, people will setup a reverse proxy for this.

Easy solution would be multiple WAN IP addresses.

I run multiple PS3s behind my Sophos, but don't host many games.

Maybe look up what ports the PS3 is expecting to use, and you can get port A to go to device A, and port B, which is A+1, to go to device B.

IPv6 will help fix situations like this, because every device will have a unique IP.  You will not need to use PAT to split one subnet into a single IP, or set of IPs.

Multiple devices behind a single static WAN IP is not really a short coming of the firewall, or even perhaps your rules on the firewall.
It's more of a shortcoming of IPv4.

When something comes into your network from the internet, it is coming in with a destination of your WAN IP, and then the service port it needs to talk to.  

So, if you create a game, it will tell everyone that wants to connect, to connect to your WAN IP, using the given service port.  Once it hits your WAN, DNAT translates the WAN IP to whatever the internal destination IP is.  You see this same type of issue when someone wants to host multiple websites on different hosts, behind a single IP.  Because all web requests come in on port 80, the firewall doesn't generally look into the packets to determine what website it is trying to go to.  www1.whatever.com vs www2.whatever.com.  Usually, people will setup a reverse proxy for this.

Easy solution would be multiple WAN IP addresses.

I run multiple PS3s behind my Sophos, but don't host many games.

Maybe look up what ports the PS3 is expecting to use, and you can get port A to go to device A, and port B, which is A+1, to go to device B.

IPv6 will help fix situations like this, because every device will have a unique IP.  You will not need to use PAT to split one subnet into a single IP, or set of IPs.