我已经配置了 iptable 规则 (PREROUTING) 来创建 DNAT。但是,这并没有按预期工作,我可以看到这些规则正在命中 (iptables -vL -t nat),但 nat 会话未创建 (conntrack -L)。我在任何跟踪点中都看不到该数据包。它被内核悄悄丢弃了。我们如何检查数据包发生了什么?任何日志都可以在这里提供帮助吗?
答案1
如果您看到 DNAT 规则命中,并且没有为该规则创建连接,那么这可能是由于 Martian 数据包丢失造成的。您可以通过在所有接口上启用 Martian 日志来验证这一点。请观看以下视频,这将帮助您进一步缩小问题范围。