Estou usando o EdgeOS (também conhecido como vyatta 6.3 aka debian) com o 3.4.27. Existem duas regras de encaminhamento de porta DNAT assim:
rule 1 {
destination {
port 65432
}
inbound-interface eth0
inside-address {
address 192.168.88.5
}
log disable
protocol tcp_udp
type destination
}
Desconsiderando especificidades desta distribuição linux, presumo que TODOS os pacotes TCP e UDP devem ser encaminhados para a LAN e filtrados apenas pelas regras de firewall [wan-lan]. Estou certo nesta suposição? Porque alguns pacotes designados para IP de eth0 e com dport satisfazendo a regra DNAT, ainda estão no firewall [wan-local]. Esses pacotes são principalmente TCP com os seguintes sinalizadores: ACK RST, RST, ACK FIN. O fluxo não está realmente ativo e não há quedas na eth0 durante esse período.
Estou faltando alguma coisa ou o iptables não faz seu trabalho 100% corretamente?
Obrigado.