Estou experimentando NAT sem estado usando nftables. Nopáginasobre a manipulação apátrida de campos de protocolo, o autor diz:
Tenha em mente que as interações com o conntrack, fluxos com tráfego mutilado não devem ser rastreados
Por curiosidade, quais são algumas das coisas ruins que podem acontecer se eu não fizer isso? Não consigo encontrar nenhuma informação sobre este ponto.
Responder1
O rastreamento da conexão começa antes que a tabela mangle seja processada, portanto, a conexão rastreada não corresponderia aos pacotes mutilados, tornando-a inútil, na melhor das hipóteses, ou bloqueando a conectividade, na pior.