当存在DNAT规则时，有些数据包被丢弃在中服务器 Gind.cn

我用3.4.27运行EdgeOS（aka vyatta 6.3 aka debian）。有两个DNAT端口转发规则是这样的：

rule 1 { destination { port 65432 } inbound-interface eth0 inside-address { address 192.168.88.5 } log disable protocol tcp_udp type destination }

不考虑这个linux发行版的细节，我假设所有的TCP和UDP数据包都应该被转发到局域网，并且只能通过[wan-lan]防火墙规则进行过滤。我对这个假设是否正确？因为一些指定给eth0的IP和dport满足DNAT规则的数据包仍然在[wan-local]防火墙中。这些数据包主要是TCP和以下标志：ACK RST，RST，ACK FIN。在这段时间内stream量并不真正活跃，eth0也没有下降。

我错过了什么或iptables没有正确地完成它的工作？

谢谢。

用iptables在networking服务器上丢弃ACK FIN，ACK RST，RST数据包
在Internet网关上运行的OpenVPN，所有的私人客户端都可以在没有configuration的情况下访问VPN
wget和端口转发
firehol简单的configuration在Debian 7上不起作用
如何仅通过OpenVPN为服务器路由stream量

在NAT后面的libvirt中更改虚拟机的发件人IP
IPTables自定义日志失败
iptables：只匹配build立的TCP连接的第一个数据包
为什么在接口configuration中路由的两个后续命令中的第一个不是自动处理的
如何监控每个iptables伪装设备的带宽