建筑的诠释：

数十台主机(发件人)将一些UDP数据包(特定端口9999上的单向)发送到我的Linux路由器.这个Linux路由器使用iptables将这些数据包转发到多个主机(接收器).

senderX 10.0.0.X ====>带iptables的Linux路由器====> receiverY 10.0.1.Y

linux路由器有两个网卡eth1 10.0.0.1/24(发件人方)和eth0 10.0.1.1/24(接收方).

iptables设置：

> ip_forwarding已激活
>所有默认策略都设置为ACCEPT
>每个发件人都有一个iptables规则,这是一个例子：

iptables -t nat -A PREROUTING -s 10.0.0.2 -i eth1 -j DNAT --to-destination 10.0.1.123

网络设置 ：

ip addr show：

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 16436 qdisc noqueue state UNKNOWN
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,LOWER_UP> mtu 1500 qdisc mq state UP qlen 1000
    link/ether 54:9f:35:0a:16:38 brd ff:ff:ff:ff:ff:ff
    inet 10.0.1.1/24 brd 10.0.1.255 scope global eth0
    inet6 fe80::569f:35ff:fe0a:1638/64 scope link
       valid_lft forever preferred_lft forever
3: eth1: <BROADCAST,LOWER_UP> mtu 1500 qdisc mq state UP qlen 1000
    link/ether 54:9f:35:0a:16:3a brd ff:ff:ff:ff:ff:ff
    inet 10.0.0.1/24 brd 10.0.0.255 scope global eth1
    inet6 fe80::569f:35ff:fe0a:163a/64 scope link
       valid_lft forever preferred_lft forever

症状：

添加一组规则后,某些规则不起作用.我可以通过tcpdump看到UDP数据包不再被路由,数据包被拒绝.

tcpdump -n -i eth1 host 10.0.0.2
tcpdump: verbose output suppressed,use -v or -vv for full protocol decode
listening on eth1,link-type EN10MB (Ethernet),capture size 65535 bytes
16:12:58.241225 IP 10.0.0.2.56859 > 10.0.0.1.9999: UDP,length 1464
16:12:58.241285 IP 10.0.0.1 > 10.0.0.2: ICMP 10.0.0.1 udp port 9999 unreachable,length 556

>如果我清除所有规则并在iptables中重新注入它们,那些无效的规则仍无效.
>如果我重新启动服务器,所有规则都可以正常工作.

分析完成：

我添加了一条规则来记录一个不起作用的特定发件人：

iptables -t nat -A PREROUTING -s 10.0.0.2 -i eth1 -j LOG --log-prefix='PREROUTING LOG :'

但是这个规则没有记录任何东西.数据包即将到来,因为我在tcpdump中看到了这些数据包,但它们未被记录.同样在iptables中使用-v选项,我没有看到此规则的计数器增加.

如果我在停止工作之前应用相同的规则,我会有一些日志.

题 ：

> iptables中的UDP转发是否有任何限制？
>我如何解决这个问题？