로드 밸런싱을 위해 DNAT가 필요하고 SYN 플러딩을 완화하기 위해 SYNPROXY가 필요한 애플리케이션이 있습니다. SYNPROXY가 없으면 원형 DNAT를 PREROUTING 후크의 NAT 체인에 넣을 것입니다. 그러나 SYNPROXY를 추가하면 다운스트림 서버와의 초기 가장 통신이 OUTPUT 경로를 통해 발생하기 때문에(올바르게 이해한 경우) 이 문제가 복잡해 보입니다. 내가 읽은 제안에 따르면 DNAT는 NAT 체인의 OUTPUT 후크로 이동해야 하지만 이상해 보입니다. 첫 번째 SYN, SYN-ACK, ACK 후에 패킷은 어떻게 netfilter를 통과합니까? 이 방법은 후속 패킷이 올바르게 NAT되도록 PREROUTING CONNTRACK을 업데이트합니까? 이것이 실행 가능한 솔루션입니까?