iptables 操作nat表的OUTPUT链，这样不行吗？

contestjia

nat表中有三条chain，可为什么我对OUTPUT做nat会失效了？

实验场景如下：
A主机：192.168.101.17
B主机：192.168.101.27
C主机：192.168.101.254

在B主机上添加规则如下：
iptables -t nat -A OUTPUT -p icmp --icmp-type 0 -j DNAT --to-destination 192.168.101.254

在A主机上ping B主机：ping 192.168.101.27

对于回应包，按照设置的规则，应该会把回应包的目的IP改成192.168.101.254，这样A ping B必然是不通的。

但实验结果相反，是能通的，这是为什么了？

chenyx

DNAT应该在PREROUTING里面做，SNAT在POSTROUTING里面做

contestjia

回复 2# chenyx

是的，我只是好奇，想验证一下，因为man手册里面指明，做nat可以在三个地方，除了PREROUTING、POSTROUTING还有OUPUT，
我想知道OUTPUT能否做nat，如果能做，那为什么按照实验那样做，会不行了？

chenyx

一般在INPUT、OPUPUT、forward里面做过滤

contestjia

chenyx 发表于 2015-09-09 09:03
一般在INPUT、OPUPUT、forward里面做过滤

嗯，filter表有这三条链，但我不是做过滤，我只是想在OUTPUT做nat，将icmp回应包的目的ip改了，虽然没什么实际意义，但我只是想知道为什么OUTPUT不能做nat，因为手册里说了，可以在OUTPUT做nat的，所以我想验证一下为什么和手册说的不一样

yyu0378

ping是基于icmp协议的，就不适用的tcp，你设定这个是不可能生效的

contestjia

回复 6# yyu0378

不是的，我在B主机如果添加这样一条规则：
iptables -t nat -A OUTPUT -p icmp --icmp-type 8 -j DNAT --to-destination 192.168.101.254

将所有B主机的icmp请求的目的ip变成192.168.101.254

这就好玩儿了，在B主机ping 任何一个ip地址都能通，因为它在OUTPUT链的时候已经把目的ip换成192.168.101.254了，用tcpdump就可以看出来。

下面是我任意ping ip的结果   

[root@localhost protocol]# ping 192.168.1
PING 192.168.1 (192.168.0.1) 56(84) bytes of data.
64 bytes from 192.168.0.1: icmp_seq=1 ttl=64 time=0.508 ms
64 bytes from 192.168.0.1: icmp_seq=2 ttl=64 time=0.510 ms
64 bytes from 192.168.0.1: icmp_seq=3 ttl=64 time=0.388 ms

[root@localhost protocol]# ping 1.1.1.7
PING 1.1.1.7 (1.1.1.7) 56(84) bytes of data.
64 bytes from 1.1.1.7: icmp_seq=1 ttl=64 time=0.484 ms
64 bytes from 1.1.1.7: icmp_seq=2 ttl=64 time=0.397 ms
64 bytes from 1.1.1.7: icmp_seq=3 ttl=64 time=0.396 ms

chenyx

这个不就是你原来需要的结果吗

contestjia

回复 8# chenyx

这个是在B主机主动发ping，能在OUTPUT将目的ip改了。
如果B主机是进行ping回应，在OUTPUT就不能将目的ip改了。

难道ping回应不走OUTPUT吗，对于icmp回应包，应该也算是机器自己发出的，为什么就不能在OUTPUT给修改了？

正因为出现了这两种结果，所以我才会有疑惑

chenyx

回应数据包应该走的是filter里面的output吧