conntrack ukazuje i spojeni z routeru - -j MASQ je bez rozsahu

[Hamparle]

Tak jsem se díval na  conntrack -L a překvapilo mě tam hodně DNS přímo ze stroje routeru ("tento počítač  "). Není důvod,aby šly přes nat, když přeci vychází z routeru (protože na něm běží forwardovací DNS a přímé DNS jsem zařízl, ostatně je to vidět i z jednoho řádku
src=71.47.3.11 dst=1.1.1.1 sport=3536 dport=53 src=1.1.1.1 dst=71.47.3.11 sport=53 dport=3536
)

Je to jasný, že nf_conntrack na sebe "strhává" i provoz, který nepotřebuje být natován: když pravidlo je -A POSTROUTING -o wlan0 -j MASQUERADE

Myslím, že technicky to ničemu nevadí, maximálně to může zatěžovat prostředky v nereálně hypotetickém zatížení, ale rád bych věděl, jak to pravidlo napsat korektně. (Ne jenom aby to fungo valo - což jde i teď - ale aby to bylo takzvaně richtig. A pokud možno abych tam nemusel vkládat IP adresu, což by byla nechtěná "duplicita" (tím myslím využití proměnné). Nebo jiná možnost není?

Možnosti:
-i wlan1 (vnitřní interface)
--src 10.0.0.0/16 (vnitřní síť)
--not --src 71.47.3.11 (vnější IP)

[Reklama]

[Hamparle]

EDIT:
Tak možnost číslo 1 (-i Rozhraní_odkud) odpadá, jelikož to u POSTROUTING Není dovoleno.

[Hamparle]

Co ale je fakt divné, že když pravidlo nahradím

Kód: [Vybrat]

-A POSTROUTING  -o wlan0 -j MASQUERADE #před změnou
-A POSTROUTING -s 10.0.0/8 -o wlan0 -j MASQUERADE # po změnětak se nic nezmění, stále se v výpisu ukazuje


Takže dotazy na publikum: jak to tedy je s conntrack (jako takový i jeho výpisem conntrack -L)?


-Proč conntrack -L ukazuje i řádky kde pravidlo MASQ nematchuje IP ? Znamená to tedy, že tento výpis nic s NATem nemá společného a vypisuje jakákoli spojení bez ohledu na to, zda dochází k překladu?

- provádí conntrack NAT i v případě, že pravidlo ve firewallu matchuje i pakety z routeru (tedy před úpravou, bez specifikace src adresy , v prvním postu, kdy v řádku conntrack adresy jsou shodné)