Как вариант, можно для данных пакетов в таблице raw применять -j CT --notrack, чтобы отключить для них обработку conntrack'ом, а потом дропать их где угодно по своему усмотрению, так как не все сопоставления доступны в таблице raw.
Спасибо :)
Хотел еще узнать. А зачем вообще делать такие вещи? Для чего?
Дело в том, что этот вопрос мне попался на собеседовании и стало интересно. Я давно с головой ушел в сети и руководство, так что для меня существование некоего conntrack стало сюрпризом и тем более не понятно, зачем его обходить.
Василий: Дело в том, что трассировка соединений не бесплатна, и вызывает некоторое повышение нагрузки. Особенно это заметно в случаях какого-нибудь DDoS'а или Syn-flood'а. Чтобы снизить нагрузку на ЦПУ, можно отключить трассировку соединений для некоторой части трафика (например, оставить трассировку только для транзитного трафика, для которого делается NAT, а для остального трафика - отключить, а сам фильтрацию сделать stateless). Вот как-то так.
Сложный
