我正在运行 EdgeOS(又名 vyatta 6.3,又名 debian),版本号为 3.4.27。有两个 DNAT 端口转发规则,如下所示:
rule 1 {
destination {
port 65432
}
inbound-interface eth0
inside-address {
address 192.168.88.5
}
log disable
protocol tcp_udp
type destination
}
不管这个 Linux 发行版的具体情况,我假设所有 TCP 和 UDP 数据包都应转发到 LAN,并且仅由 [wan-lan] 防火墙规则过滤。我的这个假设对吗?因为一些指定到 eth0 的 IP 且 dport 满足 DNAT 规则的数据包仍会进入 [wan-local] 防火墙。这些数据包大多是 TCP,带有以下标志:ACK RST、RST、ACK FIN。流量实际上并不活跃,在此期间 eth0 上没有丢包。
是我遗漏了什么还是 iptables 没有 100% 正确地完成其工作?
谢谢。