Chinaunix

标题: 已匹配过第一包的旧连接如何重新匹配nat表规则？ [打印本页]

作者: ogmw 时间: 2013-05-21 14:41
标题: 已匹配过第一包的旧连接如何重新匹配nat表规则？

问题现象：
拓扑如右：内网PC-----linux路由器（拨号，nat）-----公网
PC上用一个发包小软件，不断往公网一个IP地址（随便找个都可以）发 UDP包
这时，在linux路由的外网口（WAN口）抓包，出去的包是有作源IP转换的
但如果我重启一下路由器，再抓包（注意PC是持续在发包的，不要中断）
这时就发现，源地址没转换了
但如果我停一下那个软件，重新发包，或者换个端口或者换个IP来发，则转换又正常了。

猜测问题原因是：
linux启动加载连接跟踪nat模块后至到 iptable下发nat规则到内核这段时间之间，有包进入了。
而根据nat的原理，每个连接只有第一包会进入nat规则表匹配，后续的包都是根据第一包的匹配结果来转换的。

我的问题是：
如何让已经匹配过nat表的旧连接重新匹配？或者让这个旧连接快速销毁？
有没有一些简单点的方法？比如 iptable 有没什么规则更新通知连接重新匹配之类的命令，或者连接超时设置能让连接死掉？
或者其他更靠谱优雅的方案？

欢迎光临 Chinaunix (http://bbs.chinaunix.net/)