Я использую EdgeOS (он же vyatta 6.3, он же debian) с 3.4.27. Есть два правила переадресации портов DNAT, например:
rule 1 {
destination {
port 65432
}
inbound-interface eth0
inside-address {
address 192.168.88.5
}
log disable
protocol tcp_udp
type destination
}
Не обращая внимания на особенности этого дистрибутива Linux, я предполагаю, что ВСЕ пакеты TCP и UDP должны пересылаться в LAN и фильтроваться только по правилам брандмауэра [wan-lan]. Прав ли я в этом предположении? Так как некоторые пакеты, предназначенные для IP-адреса eth0 и dport, удовлетворяющие правилу DNAT, по-прежнему попадают в брандмауэр [wan-local]. Это в основном пакеты TCP со следующими флагами: ACK RST, RST, ACK FIN. Поток на самом деле не активен, и в это время на eth0 нет сбоев.
Я что-то упускаю или iptables не выполняет свою работу на 100% должным образом?
Спасибо.