Graças ao conselho da @ AB sobre o registro, eu pude fazer mais alguns testes e aqui estão os resultados, assim como as respostas às minhas próprias perguntas, na esperança de que isso ajude outras pessoas que, como eu, não encontre algo na web sobre os estados SNAT
e DNAT
e / ou sua capacidade de substituir ESTABLISHED,RELATED
para correspondência.
Assim, em uma rede doméstica moderadamente movimentada (alguns hosts que acessam a Internet via SNAT, bem como algumas máquinas virtuais que hospedam servidores (HTTP / HTTPS, SMTP, IMAP, etc.) acessíveis publicamente pela DNAT), em cinco dias, eu não vi uma única linha de log sobre um pacote que estaria em SNAT
ou DNAT
state, e não também ESTABLISHED
ou RELATED
.
Assim, a resposta à pergunta "pode um pacote ter o estado SNAT
ou DNAT
, embora não tenha também o estado ESTABLISHED
ou RELATED
" é não .
Como minha verdadeira preocupação era que a correspondência com SNAT
ou DNAT
em vez de ESTABLISHED,RELATED
permitir que os pacotes entrassem em minha LAN poderia ser muito permissiva, isso pareceria tranquilizador no começo, mas descobri que não é uma boa ideia.
Na verdade, parece que isso é, ao contrário, menos permissivo: durante meus testes com essas regras, eu vi um pequeno mas não desprezível número de pacotes no estado RELATED
que foram descartados, principalmente ICMP tipo 3, códigos 1 e 3 (respectivamente host de destino inacessível e porta de destino inacessível ), vindos da Internet e destinados aos hosts dentro da minha LAN. Em outras palavras (e se eu entendi as redes corretamente), meus hosts tentaram fazer algumas conexões com a Internet, os roteadores remotos responderam que a conexão não poderia ser feita, e meu próprio host de firewall / roteador bloqueava essas respostas. Isso não pode ser bom.
Assim, a resposta para a pergunta subjacente "É uma boa ideia substituir ESTABLISHED,RELATED
por SNAT
ou DNAT
" é, novamente, não .