есть iptables, которые фильтруют входящий на сервер трафик. Исходящий - свободно. Сервер разглядывает сетевое железо по SNMP. Правило в input (напомю, output пустой при policy accept):
-A INPUT -p udp -m udp --sport 161 --dport 0 -j ACCEPT
Ещё там (сверху) такое правило:
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
И вот проблема: приложение работает "почти". Иногда получает ответы, иногда нет.
И вторая проблема: счётчики для правила 'sport 161' - нулевые.
Это что, conntrack может не только принимать пакеты (с -j ACCEPT), но и дропать? Или я что-то не понимаю?