关于iptables的tables优先级和SNAT的问题

wLiu2007

我的需求是在包出去的地方做一个SNAT，将src ip从30网段ip改成192网段的，在接收的地方如果目的地址是30网段的，就触发my_target（通过xtables扩展的）

在POST-Routing加了一个SNAT的rule：
iptables -t nat -I POSTROUTING -s 30.30.0.0/24 -o eth0 -j SNAT --to-source 192.168.10.248

然后在PRE-Routing添加如下rule：
iptables -I PREROUTING -t mangle -i eth0 -d 30.30.0.0/24  -j my_target

2个问题想请教：
1，在POSTROUTING里加了一个SNAT之后，是不是隐含的在PRE-ROUTING处系统自己添加了一个DNAT的rule，否则响应包回来后不能正确处理吧，但是用iptables -t nat -L在PRE-ROUTING下面没有看到？why

2，如果在PRE-ROUTING系统自己添加一个DNAT rule的话，它和我自己添加的-j my_target ，这两个哪个先执行，各个table是按照顺序去做匹配的，rules好像是按照插入的先后顺序，但是不知道table是按照什么顺其去执行的。如果是先执行mangle的话，我的这个规则肯定还不能匹配吧，因为这个时候dst ip还是192网段的，需要做DNAT之后，mangle这个rule才能匹配上。


有了解的大神帮忙指点下，多谢！

nswcfd

1. nat表的规则仅在连接首包（IP_CT_NEW)的时候会去执行。
2. 隐含的反向nat是存在的（nf hook），但不是以规则的形式。
3. mangle的优先级比上面提到那个hook高。

wLiu2007

@nswcfd
1，nat表的规则仅在连接首包（IP_CT_NEW)的时候会去执行。
是否可以这么理解：只要添加了snat这样一个rule之后，就会在POST-ROUTING和PRE-ROUTING两个地方注册2个nf hook，在POST-ROUTING，如果发现是连接首包，就会去做ip匹配，如果匹配上，会做src地址转换，并给conntrack记一个标志，当后续非首包来的时候，不需要做地址匹配，只需要看conntrack下标志就知道做不做snat。而在PRE-ROUTING的nf hook完全是根据conntrack的记录决定是否做dnat。

wLiu2007

如果添加这么一条rule：
iptables -t nat -I POSTROUTING -s 30.30.0.0/24 -o eth0 -j SNAT --to-source 192.168.10.248

如果是先发送一个 src 30.30.0.2, dst 192.168.10.44 的ip报文出去，因为是连接首包，这个ip包的src肯定会被改成192.168.10.248吧

但是假如是另外一种先后顺序：
先收到一个 src 192.168.10.55 dst 30.30.0.2的包，这个包是连接首包，会建立一个ct， 里面指示不需要做src修改；
处理之后马上回应一个src 30.30.0.2 dst 192.168.10.55报文， 这个回应的ip包因为不是连接首包，只会看ct的指示，所以的src ip应该还是30.30.0.2， 后续所有该连接下的包的src都不会修改，都是以30.30.0.2形式发送出去的。

理解的是否正确。

qianguozheng

說那麼多，還是沒看懂。

nswcfd

加载nat模块之后dnat hook/snat hook就在那里，跟有没有nat rule（规则）没有关系。

匹配nat rule的conntrack会被打上标记（snat和dnat是两个标记），是这样的。

所有（被转发的）报文，在pre-routing dnat hook和post-routing snat hook上都要检查标记（反向报文检查另外一个标记），决定是否需要做nat。

nswcfd

4楼的理解应该是正确的。

nswcfd

3楼有个地方需要更正一下，pre-routing hook和post-routing hook的逻辑，基本上是一样的，都是new packet才匹配策略。

例如规则是-j SNAT A->C

1. 1st packet, A=>B, original
  a. pre-routing dnat hook
    i. 1st pkt, try dnat rule, find null
    ii. test DNAT bit, skip

  b. post-routing snat hook
    i. 1st pkt, try snat rule, find -j SNAT A->C
    ii. do nat binding, set SNAT bit, ct = [A=>B] + {B=>C}
    iii. test SNAT bit, should use {C=>B}
    iv. modify src, A->C

2. 2nd pkt, B=>C, reply
  a. dnat hook
    i. not 1st pkt, skip rule, ct = {A=>B} + [B=>C]
    ii. for reply, test SNAT bit, should use {B=>A}
    iii. modify dst, A->C

  b. snat hook
    i. not 1st pkt, skip rule
    ii. for reply, test DNAT bit, skip

3. 3rd pkt, A=>B, original
  a. dnat hook
    i. not 1st pkt, skip rule
    ii. test DNAT bit, skip

  b. snat hook
    i. not 1st pkt, skip rule, ct = [A=>B] + {B=>C}
    ii. test SNAT bit, should use {C=>B}
    iii. modify src, A->C

wLiu2007

好长时间不来，多谢各位专家！