![Некоторые пакеты отбрасываются в [wan-local], когда существует правило DNAT](https://rvso.com/image/623280/%D0%9D%D0%B5%D0%BA%D0%BE%D1%82%D0%BE%D1%80%D1%8B%D0%B5%20%D0%BF%D0%B0%D0%BA%D0%B5%D1%82%D1%8B%20%D0%BE%D1%82%D0%B1%D1%80%D0%B0%D1%81%D1%8B%D0%B2%D0%B0%D1%8E%D1%82%D1%81%D1%8F%20%D0%B2%20%5Bwan-local%5D%2C%20%D0%BA%D0%BE%D0%B3%D0%B4%D0%B0%20%D1%81%D1%83%D1%89%D0%B5%D1%81%D1%82%D0%B2%D1%83%D0%B5%D1%82%20%D0%BF%D1%80%D0%B0%D0%B2%D0%B8%D0%BB%D0%BE%20DNAT.png)
Я использую EdgeOS (он же vyatta 6.3 он же Debian) с 3.4.27. Есть два правила переадресации портов DNAT, например:
rule 1 {
destination {
port 65432
}
inbound-interface eth0
inside-address {
address 192.168.88.5
}
log disable
protocol tcp_udp
type destination
}
Не обращая внимания на специфику этого дистрибутива Linux, я предполагаю, что ВСЕ пакеты TCP и UDP должны пересылаться в локальную сеть и фильтроваться только правилами брандмауэра [wan-lan]. Прав ли я в этом предположении? Потому чтонекоторыйпакеты, назначенные на IP eth0 и с dport, удовлетворяющим правилу DNAT, все равно попадают в [wan-local] брандмауэр. Эти пакеты в основном TCP со следующими флагами: ACK RST, RST, ACK FIN. Поток на самом деле не активен, и в это время на eth0 нет отбрасываний.
Я что-то упускаю или iptables не выполняет свою работу на 100% правильно?
Спасибо.