摘要： iptables nat 原理同filter表一样，nat表也有三条缺省的"链"(chains)：PREROUTING:目的DNAT规则把从外来的访问重定向到其他的机子上，比如内部SERVER，或者DMZ。因为路由时只检查数据包的目的ip地址，所以必须在路由之前就进行目的PREROUTING DNAT;系统先PREROUTING DNAT翻译——>再过滤（FORWARD）——>最后路由。路由和过滤（FORWARD)中match 的目的地址，都是针对被PREROUTING DNAT之后的。POSTROUTING:源SNAT规则在路由以后在执行该链中的规则。系统先路 阅读全文