关键别人进来的时候做了DNAT，只做路由，A收到的包是C的源地址，A发出去的包又是B的地址，socket能建立起来？只有方案1可行吧
【 在 tsa300 的大作中提到: 】
: 静态路由效率高。
: DNAT SNAT 端口转发肯定不如路由。
: 其实你不需要iptables DNAT，A做静态路由，把C网段的路由指向B，B做源地址路由（策略路由）把A来的请求指向C。这是三层转发（路由），能访问C的任何端口、任何协议，而且性能好。如果用iptables 做DNAT端口转发就是四层的，只能每个端口+协议的组合单独配置，性能也打折扣。
: ...................
--
FROM 112.64.184.*