关于linux的NAT，数据包由外网返回时，在什么位置做"地址转换"？

daofree

我使用双网卡作NAT,以下是其中一句开启NAT的语句:


iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE



我的疑惑是:

当数据包,  内网-->外网  的时候,经过POSTROUTING时,作了"源地址"转换

那么,当数据包回来时,也即:  外网-->内网  的时候,必须作"目的地址"转换,数据包才能到达内网.

那么,
数据包在内核的什么地方,作了"目的地址"转换?

daofree

我分析,数据返回的时候,

应该不会是在POSTROUTING作"目的地址转换",然后发送到内网.

返回有可能是在PREROUTING...

chenyx

做nat的时候,会有一个nf_conntrack表,里面记录了地址转换的条目,返回的时候查表然后发给内网用户

daofree

做nat的时候,会有一个nf_conntrack表,里面记录了地址转换的条目,返回的时候查表然后发给内网用户
chenyx 发表于 2010-11-12 21:19

    我知道,不过我想知道,"查表然后发给内网用户"这一步,

    具体是在哪个链上的哪个表上做?

    我的意思是,在路由前,还是路由后?

   如果是路由前,也即PREROUTING,

   那么是在执行mangle前,还是执行mangle后?

    又或是在执行nat表前,还是执行nat表后?

liuyangxky

这个你查不到的，这是内核自动做的。每添加一条NAT规则，内核会主动添加一条与之相应的反向NAT的规则，这个规则在内核中，不能通过iptables -L看出来。

daofree

这个你查不到的，这是内核自动做的。每添加一条NAT规则，内核会主动添加一条与之相应的反向NAT的规则，这个 ...
liuyangxky 发表于 2010-11-12 22:44

    我并不是要查看这条反向规则,
   
   我是比较想知道,这条反向规则,具体在什么时候被执行?


   是在PREROUTING被执行呢?

   还是在FORWARD执行呢?

   还是在POSTROUTING执行呢?


    如果是在PREROUTING被执行,那么,是在mangle表匹配前执行呢？


   还是在nat表匹配前执行呢？

liuyangxky

回复 6# daofree


    我记得是在PREROUTING的时候。给你一张图，你自己看。

daofree

回复  daofree


    我记得是在PREROUTING的时候。给你一张图，你自己看。
liuyangxky 发表于 2010-11-12 23:29

    谢谢你的图,只可惜,还是不能找到答案...

    如果图上能标有NAT的反向规则所执行的的位置就好了...

   我甚至怀疑：

  数据包由外网返回到内网的时候，可能在conntrack那里做"地址转换"。。。

yinguochun1234

楼主，我最近也在看nat相关的东西，好像从wan端发往lan的packets是不会主动做dnat的动作的，除非你在系统上开启了DMZ或者Virtual server，而（DMZ或者Virtual server）本身也是通过DNAT来实现的。所以，你没有开启那种服务的话，wan来的packets是不会到达lan侧的。
那么为什么你lan到wan的请求通过后会收到wan回过来的packets呢？主要是wan侧回过来的packets会查询cnnntrack表里面的entry，如果source ip 和dst ip以及端口都是和你响应包的内容相同的话，那么就可以直接进入lan侧了，而不需要再做dnat的动作。
这个判断是在mangle之前的，允许进入lan侧后，才会正式进入netfilter的模块
以上是我的理解，请参考。谢谢

dj_shu

会在PREROUTING里面做DNAT，因为PREROUTING后就是会做ROUTING，如果不做DNAT的话，数据包就不会被ROUTING到LAN。