我觉得你不需要第二条，一条DNAT就够了

【 在 obana 的大作中提到: 】
: 标  题: Re: 求助一个iptables的写法
: 发信站: 水木社区 (Sun Jan  7 23:20:00 2024), 转信
:
: 贴iptables-save的结果：
:
: -A PREROUTING -d ip1/32 -i eth0 -j DNAT --to-destination ip2
: -A POSTROUTING -s ip2/32 -o eth0 -j SNAT --to-source ip1
:
: ip1是玩具写死的ip已经无法访问了
: ip2是我自己答的服务器，可以访问
:
: eth0是内网网卡，eth1是外网网卡
:
:
: 【 在 DreamDreams 的大作中提到: 】
: : 我的路由器都升级到只有nftables了，我写了这么一条
: :         chain prerouting {
: :                 type nat hook prerouting priority filter; policy accept;
: : ...................
:
: --
:
: ※ 来源:·水木社区 http://www.mysmth.net·[FROM: 117.129.62.*]
--
FROM 124.207.188.194

路由器由外向内的端口转发就只用一条 DNAT，通信显然是双向的。

【 在 tsa300 的大作中提到: 】
: 标  题: Re: 求助一个iptables的写法
: 发信站: 水木社区 (Mon Jan  8 23:40:31 2024), 转信
:
: 如果玩具只发包，第一条就够了
:
: 如果有往来的包，必须得有回来的路
:
: 【 在 DreamDreams 的大作中提到: 】
: : 我觉得你不需要第二条，一条DNAT就够了
: :
:
: --
:
: ※ 来源:·水木社区 http://www.mysmth.net·[FROM: 123.125.204.*]
--
FROM 124.207.188.194

那显然就是你在扯淡了

我前面做的实验有贴图，DNAT 方向是从内向外的，也就是和masqurade一个方向
所以masqurade根本没生效。

从原理上讲，无论masqurade还是 DNAT 都是有 session 的，不是每个包独立操作
所以DNAT一次之后，后续另一个方向同一个 session 的包是通行无阻的，只需要
session 发起的操作是DNAT定义的那个方向就行了。

按你的说法，MASQURADE是不是还得动态配合DNAT规则才行了？否则只能出不能进了？

【 在 tsa300 的大作中提到: 】
: 标  题: Re: 求助一个iptables的写法
: 发信站: 水木社区 (Tue Jan  9 09:40:16 2024), 转信
:
: 别扯淡了，路由器 DNAT 向内转发只用一条是因为路由器对自己的公网出口设了 MASQUERADE ，MASQUERADE 本质上就是 SNAT
:
: DNAT 转发有 SNAT 配合才有回程，否则就要对端设备显式设置回程路由。
:
: 【 在 DreamDreams 的大作中提到: 】
: : 路由器由外向内的端口转发就只用一条 DNAT，通信显然是双向的。
: :
:
: --
:
: ※ 来源:·水木社区 http://www.mysmth.net·[FROM: 218.30.113.*]
--
FROM 124.207.188.194

大哥我说不用masqurade，而且做了实验，你张嘴就说我没找到回包路由
麻烦你过过脑子。

要不然你也实操一下，给点证据，光嘴炮有什么意思。


【 在 tsa300 的大作中提到: 】
: 标  题: Re: 求助一个iptables的写法
: 发信站: 水木社区 (Tue Jan  9 10:07:49 2024), 转信
:
: 那是你自己没找到回包的路由/masquerade，不是别人的问题
:
: 【 在 DreamDreams 的大作中提到: 】
: : 那显然就是你在扯淡了
: : 我前面做的实验有贴图，DNAT 方向是从内向外的，也就是和masqurade一个方向
: : 所以masqurade根本没生效。
: : ...................
:
: --
:
: ※ 来源:·水木社区 http://www.mysmth.net·[FROM: 218.30.113.*]
--
FROM 124.207.188.194