使用 iptables MASQUERADE 规则的 NAT 设置为从外部 WAN 接口进入的数据包添加 conntrack 条目

我正在模拟网络命名空间内的 NAT/路由器设置，并且遇到了奇怪的行为，其中 conntrack 条目是由从外部 WAN 接口发送到路由器的数据包创建的。我期望只有当数据包从内部接口转发到外部接口时才应该创建这样的 conntrack 条目（从而执行保护内部网络免受外部网络影响的 NAT 功能）。

这是我的情况：

请注意，上面的架构图像有点过时了。我正在使用192.168.0.1和192.168.0.2，而不是198.168.X.X。

ip netns add agent1
ip netns add router1
ip netns add router2
ip netns add agent2

# creates an interface a1 (otherside is r1-int)
ip netns exec agent1 ip link add a1 type veth peer name r1-int
# set r1-int to router1
ip netns exec agent1 ip link set r1-int netns router1

# creates an interface r1-ext (otherside is rw-ext)
ip netns exec router1 ip link add r1-ext type veth peer name r2-ext
# sets r2-ext to router2
ip netns exec router1 ip link set r2-ext netns router2

# creates an interface r2-int (otherwisde is a2)
ip netns exec router2 ip link add r2-int type veth peer name a2
# sets a2 to agent2
ip netns exec router2 ip link set a2 netns agent2

# set up interfaces for agent1
ip netns exec agent1 ip link set lo up
ip netns exec agent1 ip link set a1 up
ip netns exec agent1 ip addr add 10.0.0.2/24 dev a1
ip netns exec agent1 ip route add default via 10.0.0.1

# set up interfaces for router1
ip netns exec router1 ip link set lo up
ip netns exec router1 ip link set r1-int up
ip netns exec router1 ip link set r1-ext up
ip netns exec router1 ip addr add 10.0.0.1/24 dev r1-int
ip netns exec router1 ip addr add 192.168.0.1/24 dev r1-ext
ip netns exec router1 ip route add default via 192.168.0.2

# setup interfaces for router2
ip netns exec router2 ip link set lo up
ip netns exec router2 ip link set r2-int up
ip netns exec router2 ip link set r2-ext up
ip netns exec router2 ip addr add 10.0.0.1/24 dev r2-int
ip netns exec router2 ip addr add 192.168.0.2/24 dev r2-ext
ip netns exec router2 ip route add default via 192.168.0.1

# setup interfaces for agent2
ip netns exec agent2 ip link set lo up
ip netns exec agent2 ip link set a2 up
ip netns exec agent2 ip addr add 10.0.0.2/24 dev a2
ip netns exec agent2 ip route add default via 10.0.0.1

# Setting up port-restricted NAT for both routers (mapping will always be to port 55555 for easier testing)
ip netns exec router1 iptables -t nat -A POSTROUTING -p udp -o r1-ext -j MASQUERADE --to-ports 55555
ip netns exec router2 iptables -t nat -A POSTROUTING -p udp -o r2-ext -j MASQUERADE --to-ports 55555

agent1当我从to发送 UDP 数据包时router2，这会router1按预期创建 conntrack 条目。它失败了，因为router2没有任何东西在监听。

ip netns exec agent1 nc -u -p 55555 192.168.0.2 55555
> FIRST PACKET

然而，它也在conntrack中创建条目router2。

$ sudo ip netns exec router1 conntrack -L
udp      17 14 src=10.0.0.2 dst=192.168.0.2 sport=55555 dport=55555 [UNREPLIED] src=192.168.0.2 dst=192.168.0.1 sport=55555 dport=55555 mark=0 use=1
conntrack v1.4.6 (conntrack-tools): 1 flow entries have been shown.

$ sudo ip netns exec router2 conntrack -L
udp      17 16 src=192.168.0.1 dst=192.168.0.2 sport=55555 dport=55555 [UNREPLIED] src=192.168.0.2 dst=192.168.0.1 sport=55555 dport=55555 mark=0 use=1
conntrack v1.4.6 (conntrack-tools): 1 flow entries have been shown.

中的这个附加 conntrack 条目router2阻止我从agent2向发送数据包router1。

ip netns exec agent2 nc -u -p 55555 192.168.0.1 55555
> SECOND PACKET

它SECOND PACKET到达router2 r2-int接口，然后就消失，它永远不会被发送r2-ext，也永远不会到达router1。

我怀疑我的iptables规则太笼统，需要更有选择性（https://superuser.com/questions/1706874/iptables-selective-masquerade）。然而，我尝试仅使用-s 10.0.0.0/24源地址匹配，它仍然导致相同的行为。

我在iptables设置中遗漏了什么吗？如何确保 conntrack 条目不会router2在从 发送过来的数据包中创建agent1？