Назад | Перейти на главную страницу

Некоторые пакеты отбрасываются в [wan-local], когда существует правило DNAT

Я использую EdgeOS (он же vyatta 6.3, он же debian) с 3.4.27. Есть два правила переадресации портов DNAT, например:

rule 1 {
 destination {
     port 65432
 }
 inbound-interface eth0
 inside-address {
     address 192.168.88.5
 }
 log disable
 protocol tcp_udp
 type destination
}

Не обращая внимания на особенности этого дистрибутива Linux, я предполагаю, что ВСЕ пакеты TCP и UDP должны пересылаться в LAN и фильтроваться только по правилам брандмауэра [wan-lan]. Прав ли я в этом предположении? Так как некоторые пакеты, предназначенные для IP-адреса eth0 и dport, удовлетворяющие правилу DNAT, по-прежнему попадают в брандмауэр [wan-local]. Это в основном пакеты TCP со следующими флагами: ACK RST, RST, ACK FIN. Поток на самом деле не активен, и в это время на eth0 нет сбоев.

Я что-то упускаю или iptables не выполняет свою работу на 100% должным образом?

Спасибо.