私はnftablesを使ってステートレスNATを試しています。ページプロトコル フィールドをステートレスにマングリングすることについて、著者は次のように述べています。
conntrackとの相互作用に留意してください。トラフィックが破損したフローは追跡されないようにする必要があります。
興味深いことに、これを行わなかった場合、どのような悪いことが起こる可能性がありますか? この点に関する情報が見つからないようです。
答え1
接続追跡はマングル テーブルが処理される前に開始されるため、追跡された接続はマングルされたパケットと一致しず、最善の場合でも役に立たなくなり、最悪の場合は接続がブロックされます。