Estoy experimentando con NAT sin estado usando nftables. Sobre elpáginasobre la destrucción sin estado de campos de protocolo, el autor dice:
Tenga en cuenta las interacciones con conntrack, los flujos con tráfico desordenado no deben ser rastreados
Por curiosidad, ¿cuáles son algunas de las cosas malas que pueden pasar si no hago esto? Parece que no puedo encontrar ninguna información sobre este punto.
Respuesta1
El seguimiento de la conexión comienza antes de que se procese la tabla de destrucción, por lo que la conexión rastreada no coincidirá con los paquetes destruidos, lo que la hará inútil en el mejor de los casos o bloqueará la conectividad en el peor.