При выполнении любых манипуляций с пакетами в Linux обычным путем с точки зрения цепочек является PREROUTING, который является первой цепочкой, а POSTROUTING, является последней цепочкой в пути пакета. Существует множество конфигураций, которые обычно есть у маршрутизатора, которые даже включают некоторые преобразования, такие как выбор туннеля IPsec VPN для определенного потока. Обычно с SNAT цель состоит в том, чтобы отправить пакет с адресом, который может быть достигнут хостами, подключенными к общедоступной сети. Такие изменения вносятся в пакет, когда он собирается покинуть маршрутизатор, то есть на уровне POSTROUTING непосредственно перед OUTPUT, чтобы избежать смешивания IP-адресов. Точно так же и в обратном направлении первое, что ожидает маршрутизатор, — это увидеть фактический поток, чтобы все решения в соответствии с конфигурациями могли быть применены по мере прохождения пакета через стек. Это может быть достигнуто только в том случае, если мы проведем DNAT на самом раннем уровне, который называется PREROUTING.
Может помочь добавление module_blacklist=tpm-crb
в качестве аргумента загрузки ядра .
Если он рассмотрит отправку отчета об ошибке .