Ich experimentiere mit Stateless NAT unter Verwendung von nftables. Auf derSeiteÜber das zustandslose Verstümmeln von Protokollfeldern sagt der Autor:
Beachten Sie die Interaktionen mit Conntrack. Datenflüsse mit verstümmeltem Datenverkehr müssen nicht verfolgt werden.
Aus Neugier: Was sind einige der schlimmen Dinge, die passieren können, wenn ich dies nicht tue? Ich kann anscheinend keine Informationen zu diesem Punkt finden.
Antwort1
Die Verbindungsverfolgung beginnt, bevor die Mangle-Tabelle verarbeitet wird. Daher würde die verfolgte Verbindung nicht mit den manipulierten Paketen übereinstimmen, was sie im besten Fall nutzlos macht oder im schlimmsten Fall die Konnektivität blockiert.