# iptables -t nat -S
...
-A PREROUTING -d 217.xxxx/32 -p tcp -m tcp --dport 53 -j DNAT --to-destination 10.x.x.9
-A PREROUTING -d 217.xxxx/32 -p udp -m udp --dport 53 -j DNAT --to-destination 10.x.x.9
...
# iptables -S
...
-A FORWARD -i eth0 -j ETH0-IN
-A ETH0-IN -d 10.x.x.9/32 -p tcp -m tcp --dport 53 -j ACCEPT
-A ETH0-IN -d 10.x.x.9/32 -p udp -m udp --dport 53 -j ACCEPT
A execução de iptables -t nat -nvL mostra zeros nessas regras de conversão de NAT. WTF ?! Funcionou antes de algumas atualizações do kernel ou do iptables, mas desde algum tempo o servidor DNS por trás desse firewall permanece inacessível. Verificado por iptables -A INPUT -d 217.xxxx -p udp --dport 53 -j LOG , os logs chegam com pacotes não traduzidos. OS CentOS7, uname -a here:
Linux fwxxxx 3.10.0-862.9.1.el7.x86_64 #1 SMP Mon Jul 16 16:29:36 UTC 2018 x86_64 x86_64 x86_64 GNU/Linux
O firewalld é explicitamente removido desta máquina. Nenhuma regra é configurada em tabelas mangle ou raw, nada em outro lugar. Estou francamente perplexo. Isto é um erro conhecido?