私はまだiptablesのマニュアルページやその他のドキュメントを読んで、質問と回答を掘り下げています。
ここで問題が発生します。 NATを設定するときは、次のようにPOSTROUTINGルールを使用します。
iptables -A POSTROUTING -t nat -j MASQUERADE -o eth0
パケットがそのチェーンに到達すると、内部ホストがインターネット接続を初期化する必要があるようです。そうですか?着信トラフィックは同じルートを介してルーティングされ、チェーンに到達しませんか?私は正しいですか?
ベストアンサー1
POSTROUTINGチェーンは、システムから出るすべてのパケット、さらにはローカルで生成されたパケットまでチェックします(PREROUTINGを省略し、代わりにOUTPUTを使用します)。
このルールは発信トラフィックに制限されますeth0。 「受信」は、ルーティングされるすべてのトラフィックを表します(これをPOSTROUTINGに関連付ける場合)。おそらくインターネット(eth0)のトラフィックに言及しているでしょう。通常、着信トラフィックはeth0システム外に転送されませんeth0。
POSTROUTINGは発信トラフィックにのみ影響します(接続の最初のパケットにのみ影響します)。応答が到着すると、eth0SNAT接続の一部として認識され、宛先アドレス(およびポート)は自動的に元の値(宛先が上書きされた値MASQUERADE)に変換されます。