PREROUTING链和POSTROUTING

寡人将臣

在配置SNAT和DNAT之前，需要开启Linux系统中的地址转发功能，否则数据无法通过防火墙转发出去。

修改/etc/sysctl.conf配置文件件，将ip_forward的值设置为1即可。

[root@localhost /]#vim /etc/sysctl.conf

......//省略部分内容

net.ipv4.ip_forwaed=1            //将此行中的0改为1

[root@localhost /]#sysctl -p    //重新读取修改后的配置

也可以开启临时的路由转发，可以执行以下操作。

[root@localhost /]#echo 1>/proc/sys/net/ipv4/ip_forward

或者

[root@localhost /]#sysctl -wnet.ipv4.ip_forward=1

---------------------

通常内网到外网是pre，外望到内网是post，但是外还是内只是个相对概念，在一定条件下是可以转换的。落实到网卡上，对于每个网卡数据流入的时候必然经过pre，数量流出必然经过post。

透明代理的原理是将内网到外网的网页访问请求进行重定向，将内网的请求转发回内网的代理服务器，代理服务与网关又是一体，如果使用post进行处理，那么数据就流出了，透明代理设置也就失败了，因此必须在数据流入的时候改写规则，才能及时响应处理请求。

回复：

POSTROUTING是源地址转换，要把你的内网地址转换成公网地址才能让你上网。

PREROUTING是目的地址转换，要把别人的公网IP换成你们内部的IP，才让访问到你们内部受防火墙保护的机器。

回复：

1,你首先要明白什么是"PREROUTING"，什么是"POSTROUTING"，我们可以简单的用下面的关系来表示：

源地址发送数据--> {PREROUTING-->路由规则-->POSTROUTING}-->目的地址接收到数据

当你使用：iptables -t nat -A PREROUTING -i eth1 -d 1.2.3.4 -j DNAT --to192.168.1.40
时，你访问1.2.3.4，linux路由器会在“路由规则”之前将目的地址改为192.168.1.40，并且Linux路由器（iptables）会同时记录下这个连接，并在数据从192.168.1.40返回时，经过linux路由器将数据发送到那台发出请求的机器。所以你的"POSTROUTING"规则没有起作用。

而"POSTROUTING"是“路由规则”之后的动作。

2,你最好能有个详细的网络拓扑图，这样我可以更好的给你解释。

3,我可以具一个简单的例子说明"PREROUTING"和"POSTROUTING"的不同应用环境：

3.1 PREROUTING的应用，
一般情况下，PREROUTING应用在普通的NAT中（也就是SNAT），如：你用ADSL上网，这样你的网络中只有一个公网IP地址（如：61.129.66.5），但你的局域网中的用户还要上网（局域网IP地址为：192.168.1.0/24），这时你可以使用PREROUTING(SNAT)来将局域网中用户的IP地址转换成61.129.66.5，使他们也可以上网：
iptables -t nat -A PREROUTING -s 192.168.1.0/24 -j SNAT 61.129.66.5
iptables -t nat -A PREROUTING --dst 61.144.a.b -p tcp --dport 3389 -j SNAT--to-destination 116.
6.c.d:3389

3.2 POSTROUTING的应用，
POSTROUTING用于将你的服务器放在防火墙之后，作为保护服务器使用，例如：
A.你的服务器IP地址为：192.168.1.2；
B.你的防火墙（Linux & iptables）地址为192.168.1.1和202.96.129.5

Internet上的用户可以正常的访问202.96.129.5,但他们无法访问192.168.1.2，这时在Linux防火墙里可以做这样的设置：
iptables -t nat -A POSTROUTING -d 202.96.129.5 -j DNAT 192.168.1.2

结：最要紧的是我们要记住PREROUTING是“路由规则”之前的动作，POSTROUTING是“路由规则”之后的动作！

注：自己转自网络并加以总结。

郑全

你这个LINUX是多少版本的？