iptables NAT 규칙의 암시적 반전

iptables는 명시적으로 추가된 모든 NAT 규칙에 대해 암시적으로 자동으로 역방향/역방향 규칙을 추가합니까?

일반적으로 DROP 정책을 가정하면 필터 테이블의 모든 INPUT 규칙에 대해 관련되거나 설정된 트래픽을 허용하는 해당 OUTPUT 규칙이 있습니다(그 반대의 경우도 마찬가지). 예를 들어, iptables 방화벽을 통해 인바운드 SSH를 활성화하려면 들어오는 연결을 허용하는 INPUT 규칙이 있어야 합니다.

iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT

그러나 반환 트래픽을 허용하는 해당 OUTPUT 규칙도 있습니다.

iptables -A OUTPUT -o eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT

필터 테이블에는 이러한 명시적인 역방향 트래픽 규칙이 필요하지만 NAT 테이블에는 그렇지 않은 것 같습니다.

다양한 비공식 참고자료에서 다음 발췌문을 살펴보세요.

1. 디지털 오션: Iptables 및 Netfilter 아키텍처에 대한 심층 분석

특정 이벤트로 인해 처리 중에 테이블 체인이 건너뛰게 됩니다. 예를 들어 연결의 첫 번째 패킷만 NAT 규칙에 대해 평가됩니다. 첫 번째 패킷에 대한 모든 NAT 결정은 추가 평가 없이 연결의 모든 후속 패킷에 적용됩니다. NAT 연결에 대한 응답에는 올바른 라우팅을 위해 역방향 NAT 규칙이 자동으로 적용됩니다.

2. 슈퍼유저: NAT 전달 연결 규칙의 내부 작동

그러나 netfilter(즉, iptables의 "엔진" 역할을 하는 패킷 필터링/수정 프레임워크)는 충분히 똑똑합니다. 들어오는 [NAT] 패킷이 수신될 때마다 netfilter의 conntrack 테이블과 비교됩니다. Netfilter는 패킷이 기존 발신 연결(ACK 플래그 세트, IP:포트 일치, TCP 시퀀스 번호 일치 등)에 대한 응답인 경우 자동으로 DNAT를 수행합니다. 추가 규칙은 필요하지 않습니다.

3. Karl Rupp: NAT 튜토리얼

다행히도 netfilter 프레임워크는 자동으로 모든 규칙에 역규칙을 추가하므로 명시적인 규칙만 설정하면 됩니다. 일반적으로 두 규칙 중 하나에 대한 결정은 불확실성이 낮은 규칙을 채택하여 이루어집니다. 예를 들어, "로컬 서브넷의 모든 패킷의 보낸 사람 주소를 바꿉니다"라는 규칙은 "클라이언트가 서버에 무언가를 보낸 경우 서버 응답의 수신자를 다른 것으로 바꿉니다."보다 훨씬 쉽습니다. 경험상 가장 먼저 실행되는 규칙은 커널에 명시적으로 설정된 규칙입니다.

내가 읽고공식 넷필터 문서그러나 나는 어디에서도 이 행동에 대한 언급을 찾지 못했습니다. 위의 진술을 확인하는 공식 참고 자료가 있습니까?