NFTABLESにおけるDNATとSYNPROXYの結合

NFTABLESにおけるDNATとSYNPROXYの結合

ロードバランシングにはDNATが必要で、SYNフラッディングを軽減するためにSYNPROXYが必要なアプリケーションがあります。 SYNPROXYがない場合は、円形DNATをPREROUTINGフックのNATチェーンに入れます。ただし、SYNPROXYを追加すると、ダウンストリームサーバーとの最初の偽装通信がOUTPUTパスを介して(正しく理解されている場合)、この問題が複雑に見えます。私が読んだ提案によると、DNATはNATチェーンのOUTPUTフックに移動する必要がありますが、奇妙に見えます。最初のSYN、SYN-ACK、ACKの後、パケットはどのようにnetfilterを通過しますか?この方法では、後続のパケットが正しく NAT されるように PREROUTING CONNTRACK を更新しますか?これは実行可能なソリューションですか?

関連情報