次のような iptables ルールがあります。
iptables -A POSTROUTING -o vEth0 -j MASQUERADE
conntrack を使って vEth0 から出る接続を追跡したいのですが、上記のルールでそれが可能です。
しかし、私はi/fで着信接続を追跡したくありません。そこで別のルールを追加しました。
iptables -t raw -A PREROUTING -i vEth0 -j CT --notrack
しかし、現在、発信接続は conntrak によって追跡されなくなりました。何が間違っているのでしょうか? ご協力ありがとうございました。