<html>
    <head>
      <base href="https://bugzilla.netfilter.org/">
    </head>
    <body>
      <p>
        <div>
            <b><a class="bz_bug_link 
          bz_status_NEW "
   title="NEW - tproxy with nftables collides with nat entries"
   href="https://bugzilla.netfilter.org/show_bug.cgi?id=1773#c3">Comment # 3</a>
              on <a class="bz_bug_link 
          bz_status_NEW "
   title="NEW - tproxy with nftables collides with nat entries"
   href="https://bugzilla.netfilter.org/show_bug.cgi?id=1773">bug 1773</a>
              from <span class="vcard"><a class="email" href="mailto:antonio.ojea.garcia@gmail.com" title="Antonio Ojea <antonio.ojea.garcia@gmail.com>"> <span class="fn">Antonio Ojea</span></a>
</span></b>
        <pre><span class="quote">> For the record, action is terminal in xt_TPROXY.</span >

yeah, exactly, I think this is a change in behavior that can difficult the
migration


<span class="quote">> Does your socket have IP_TRANSPARENT set or not?</span >


Phil, thanks for looking into, I have IP_TRANSPARENT and the anyip route and
the ip rule correctly, I can see in the logs of the tranparent proxy the first
connection is sent there, but since is UDP, subsequent connections with the
same tuple are sent directly to the DNATed entries created by the conntrack
entries.


I've created a kselftest with a reproducer, however, the behavior I have with
this test is different, once I enable the DNAT rules those always take
precedence. By removing the dnat rules in the test the connection is correctly
proxied.
In production is different, though kubernetes add way more nftables rules and
more complicated deployment</pre>
        </div>
      </p>


      <hr>
      <span>You are receiving this mail because:</span>

      <ul>
          <li>You are watching all bug changes.</li>
      </ul>
    </body>
</html>