【请教】iptables的SNAT问题

xindo

有三台机器\r\n\r\nA:外网机器(10.167.4.4/24)\r\n\r\nB:可同时连外网和内网(eth0:10.167.4.5/24, eth1:192.168.0.10/24)\r\n\r\nC:内网机器(192.168.0.20/24)\r\n\r\n\r\n\r\n刚才是C ping不通A。\r\n\r\n在B上新增一条iptables规则：iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source 192.168.0.10 \r\n\r\n这个时候C可以ping通A了。\r\n\r\n\r\n\r\nsource IP在postruting的时候不是已经被改为192.168.0.10 了吗？为什么这个时候A可以把ping包返回给C？

ssffzz1

1、没有配SNAT前不通的原因是因为A没有到C网段的回指路由。\r\n2、配过SNAT能够通，是因为源地址已经改变，无需回指路由了。

@sky

xindo

谢谢ssffzz1。\r\n还有点疑问。A收到ping包后，把响应包返回给源地址，但这个时候源地址已经变成B了，为什么C还可以收到？

@sky

我怎么觉得好像不需要NAT啊，只要B支持转发好像就可以了，在A那里加个路由

ssffzz1

一台机器决定是否对一个数据包进行接受看的是目的IP，而不管源IP的。只有发送回包的时候才关心源IP。因此可以正常接受。

zhjufe

楼上的回答好像和楼主的问题不相关吧\r\n\"A收到ping包后，把响应包返回给源地址，但这个时候源地址已经变成B了，为什么C还可以收到？\"\r\n\r\n关于这个问题，其实A的确把icmp response发给了B，B中有记录发现真正的originator是A,就把它转发给了C

7seven

这个问题好像有点无厘头，10和192都是内网地址，并不是需要进行nat上外网，打开linux的路由功能就可以了，和iptables完全没关系。