Tak sobie sprawdzałem regułki w iptables po wgraniu r42258 i ze zdumieniem stwierdziłem, że coś mi nie gra na filtrze. Najpierw odnotowałem 0 pakietów na regule z ESTABLISHED,RELATED w łańcuchu forward -- żadne pakiety tam nie trafiają, a mimo to komunikacja jest możliwa i odbywa się bez przeszkód. Dodaje przy tym smaku fakt, że domyślna polityka na łańcuchu FORWARD jest DROP. Jakim cudem to działa to ja nie wiem.

Zrobiłem test i wywaliłem całą zawartość łąńcucha FORWARD -- efekt jest taki jak oczekiwany, czyli komunikacja zdycha. Dodałem zatem do tego łańcucha tylko dwie regułki:

iptables -t filter -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
iptables -t filter -A FORWARD -i br-lan -s 192.168.1.0/24 -m conntrack --ctstate NEW -j ACCEPT

Pakiety zaczynają płynąć i stronki się ładują ale na zaporze mam taki log:

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate RELATED,ESTABLISHED
   26  1584 ACCEPT     all  --  br-lan *       192.168.1.0/24       0.0.0.0/0            ctstate NEW

WTF?

No to wywaliłem mu tę pierwszą regułkę, skoro i tak pakiety tam nie lecą i sprawdziłem inną stronkę i .... załadowała się, Jakim cudem, przecie ta druga reguła akceptuje tylko pakiety w stanie new. Co ciekawsze, pakiety nie są łapane przez domyślną politykę łańcucha, zatem muszą być wszystkie pakiety dopasowane do tego cstate NEW tyle, że licznik pokazuje 26 pakietów a każde załadowanie pojedyńczej strony powinno nabić ich ze 100, a tu załadowałem już stron kilka i tylko 26 pakietów?

To samo jest w łańcuchu INPUT na routerze, pakiety nie lecą do reguły z ESTABLISHED, RELATED

Sprawdziłem też ten wbudowany filter ale nawet tam pakiety nie wędrują do żadnej z tych 3 reguł ctstate RELATED,ESTABLISHED -- mają liczniki wskazujące 0.

To jakaś znana przypadłość? Może ktoś to sprawdzić u siebie?