Ich verwende EdgeOS (auch bekannt als Vyatta 6.3 oder Debian) mit 3.4.27. Es gibt zwei DNAT-Portweiterleitungsregeln wie diese:
rule 1 {
destination {
port 65432
}
inbound-interface eth0
inside-address {
address 192.168.88.5
}
log disable
protocol tcp_udp
type destination
}
Abgesehen von den Besonderheiten dieser Linux-Distribution gehe ich davon aus, dass ALLE TCP- und UDP-Pakete an das LAN weitergeleitet und nur durch [WAN-LAN]-Firewall-Regeln gefiltert werden sollten. Habe ich mit dieser Annahme recht? DennmanchePakete, die an die IP von eth0 adressiert sind und deren Dport die DNAT-Regel erfüllt, landen immer noch in der [wan-local]-Firewall. Diese Pakete sind meistens TCP mit folgenden Flags: ACK RST, RST, ACK FIN. Der Datenfluss ist nicht wirklich aktiv und während dieser Zeit gibt es keine Drops auf eth0.
Übersehe ich etwas oder erledigt iptables seine Aufgabe nicht 100 %ig richtig?
Danke schön.