有可能需要应用层处理模块，像ftp那样的。

能否穿越nat主要看应用有没有具体的限制。比如我弄个自定义协议，发送端把源IP和目的IP加密放进载荷，在接收端解密，如果源IP无法访问就丢弃，这样的协议就不能穿过NAT。

【 在 leeyc 的大作中提到: 】
: MASQUERADE跟SNAT一样，只是动态地址伪装而已
: 不要纠结这个
: 之前有兄弟说openwrt上也用iptables，我那个路由器正好就是openwrt的系统，在那个路由器上就没问题
: ...................
--
FROM 159.226.95.*