![DNATルールが存在する場合、[wan-local]で一部のパケットがドロップされる](https://rvso.com/image/623280/DNAT%E3%83%AB%E3%83%BC%E3%83%AB%E3%81%8C%E5%AD%98%E5%9C%A8%E3%81%99%E3%82%8B%E5%A0%B4%E5%90%88%E3%80%81%5Bwan-local%5D%E3%81%A7%E4%B8%80%E9%83%A8%E3%81%AE%E3%83%91%E3%82%B1%E3%83%83%E3%83%88%E3%81%8C%E3%83%89%E3%83%AD%E3%83%83%E3%83%97%E3%81%95%E3%82%8C%E3%82%8B.png)
私は EdgeOS (別名 vyatta 6.3、別名 debian) を 3.4.27 で実行しています。次のような 2 つの DNAT ポート転送ルールがあります。
rule 1 {
destination {
port 65432
}
inbound-interface eth0
inside-address {
address 192.168.88.5
}
log disable
protocol tcp_udp
type destination
}
このLinuxディストリビューションの仕様を無視して、すべてのTCPおよびUDPパケットはLANに転送され、[wan-lan]ファイアウォールルールによってのみフィルタリングされるものと想定しています。この想定は正しいでしょうか?いくつかのeth0 の IP に指定され、dport が DNAT ルールを満たすパケットは、依然として [wan-local] ファイアウォールに到達します。これらのパケットは、主に次のフラグを持つ TCP です: ACK RST、RST、ACK FIN。フローは実際にはアクティブではなく、その間 eth0 でドロップは発生しません。
何か見落としているのでしょうか、それとも iptables が 100% 適切に機能していないのでしょうか?
ありがとう。