VoIPの導入でiptablesの設定を変更したので, 設定を見直してみた.
恥をさらすようだが, natテーブルの扱い方を間違っていた.
natテーブルは各パケットではなく, 各ストリームの先頭パケットのみを
検証しているらしい.
そのため, PREROUTING・POSTROUTINGではフィルタリング処理を
やらない方がいい.
PREROUTINGはDNATに, POSTROUTINGはMASQUERADE・SNATに
適している.
パケットの処理の流れを図にしてみたので, 参考までにどうぞ.
0 件のコメント:
新しいコメントは書き込めません。