资料整理POSTROUTING与PREROUTING区别 详解

1、资料整理postrouting与prerouting区别 详解我也许清晰一点就是从内网出去的时候用postrouting进来的时候用prerouting，可是做透亮代理的时候确是用prerouting。这是为什么呢？ 回复: nnygg pre还是post是按照数据包的流一直确定的。 通常内网到外网是pre，外望到内网是post，但是外还是内只是个相对概念，在一定条件下是可以转换的。落实到网卡上，对于每个网卡数据流入的时候必定经过pre，数量流出必定经过post。 透亮代理的原理是将内网到外网的网页拜访哀求举行重定向，将内网的哀求转发回内网的代理服务器，代理服务与网关又是一体，假如用法post

2、举行处理，那么数据就流出了，透亮代理设置也就失败了，因此必需在数据流入的时候改写规章，才干准时响应处理哀求。 回复： postrouting是源地址转换，要把你的内网地址转换成公网地址才干让你上网。 prerouting是目的地址转换，要把别人的公网ip换成你们内部的ip，才让拜访到你们内部受防火墙庇护的机器。 回复： 1,你首先要明了什么是 prerouting ，什么是 postrouting ，我们可以容易的用下面的关系来表示： 源地址发送数据- prerouting- 路由规章- postrouting - 目的地址接收到数据 当你用法：iptables -t nat -a prero

3、uting -i eth1 -d 1.2.3.4 -j dnat -to 192.168.1.40 时，你拜访1.2.3.4，linux路由器会在 路由规章 之前将目的地址改为192.168.1.40，并且linux路由器（iptables）会同时记录下这个衔接，并在数据从192.168.1.40返回时，经过linux路由器将数据发送到那台发出哀求的机器。所以你的 postrouting 规章没有起作用。 而 postrouting 是 路由规章 之后的动作。 2,你最好能有个具体的网络拓扑图，这样我可以更好的给你说明。 3,我可以具一个容易的例子解释 prerouting 和 postrou

4、ting 的不同应用环境： 3.1 prerouting的应用， 普通状况下，prerouting应用在一般的nat中（也就是snat），如：你用adsl上网，这样你的网络中惟独一个公网ip地址（如：61.129.66.5），但你的局域网中的用户还要上网（局域网ip地址为：192.168.1.0/24），这时你可以用法prerouting(snat)来将局域网中用户的ip地址转换成61.129.66.5，使他们也可以上网： iptables -t nat -a prerouting -s 192.168.1.0/24 -j snat 61.129.66.5 3.2 postrouting的应用

5、， postrouting用于将你的服务器放在防火墙之后，作为庇护服务器用法，例如： a.你的服务器ip地址为：192.168.1.2； b.你的防火墙（linux iptables）地址为192.168.1.1和202.96.129.5 internet上的用户可以正常的拜访202.96.129.5,但他们无法拜访192.168.1.2，这时在linux防火墙里可以做这样的设置： iptables -t nat -a postrouting -d 202.96.129.5 -j dnat 192.168.1.2 结：最要紧的是我们要记住prerouting是 路由规章 之前的动作，postr

6、outing是 路由规章 之后的动作！ 用法端口映射。比如服务器在内网192.168.0.5，服务端口8080;网关ip222.240.9.211，用法网关端口8080映射到服务器8080。如下： 1 iptables -t nat -a postrouting -o ppp0 -j masquerade / iptables -t nat -a postrouting -d 192.168.0.0/24 -p t -j snat -to-source 222.240.9.211 / iptables -t nat -a postrouting -d 192.168.0.5 -p tcp -d

7、port 8080 -j snat -to-source 222.240.9.211 /特定一个ip特定的port用法nat 2 iptables -t nat -a prerouting -p tcp -d 222.240.9.211 -dport 8080 -j dnat -to 192.168.0.5:8080 3 iptables -t nat -a postrouting -d 192.168.0.5 -p tcp -dport 8080 -j snat -to-source 222.240.9.211 第1句用于当外网接口不是用法静态ip而是动态分配时内网用法snat方式衔接出去，这时它会按照接口自动推断向外链接时伪装的源地址。假如用法静态ip，那么最好用法snat，可以削减对系统的压力，由于它不用推断要用法哪个ip举行伪装。也就是说，masquerade方式是snat方式的一种结合系统功能的特例，它不用像snat一样指明-to-source，而转由系统自动推断。 第2个指令举行端口映射。假如是启动系统后配置必需要用法-d 外部接口ip ，