我正在使用 nftables 试验无状态 NAT。页关于无状态地破坏协议字段,作者说:
请记住与 conntrack 的交互,必须取消跟踪包含混乱流量的流
出于好奇,如果我不这样做,会发生什么不好的事情?我似乎找不到关于这一点的任何信息。
答案1
连接跟踪在处理 mangle 表之前开始,因此跟踪的连接不会与 mangle 数据包匹配,从而导致其在最好的情况下无用,在最坏的情况下会阻止连接。
没有 NOTRACK 的 nftables 混乱:会发生什么?
我正在使用 nftables 试验无状态 NAT。页关于无状态地破坏协议字段,作者说:
请记住与 conntrack 的交互,必须取消跟踪包含混乱流量的流
出于好奇,如果我不这样做,会发生什么不好的事情?我似乎找不到关于这一点的任何信息。
连接跟踪在处理 mangle 表之前开始,因此跟踪的连接不会与 mangle 数据包匹配,从而导致其在最好的情况下无用,在最坏的情况下会阻止连接。