Warum kommt SNAT in der POSTROUTING-Kette und DNAT in der PREROUTING-Kette vor?

Warum SNAT(ändert die Quell-IP und / oder die Ports) tritt in der natTabellenkette auf POSTROUTING, dh nach dem Routing? Und warum DNAT(ändert die Ziel-IP-Ant / oder Ports) in der PREROUTINGKette? Ich denke, letzteres liegt daran, dass es in einem PC mit unterschiedlichen privaten Netzwerken möglicherweise mehrere Netzwerkkarten gibt und der PC nicht weiß, wie das Paket weitergeleitet werden soll, wenn die Ziel-IP-Adresse immer noch eine öffentlich routbare Adresse ist. Doch für SNATIch kann keinen Grund sehen , warum dies nicht stattfinden könnte in PREROUTING.

Normalerweise ist das Hauptkriterium für SNAT "Verkehr, der über eine bestimmte Schnittstelle ausgeht" (dh -o eth0). Welche Schnittstelle ein Paket ausgibt, wird durch das Routing bestimmt. Um dieses Kriterium anzuwenden, müssen Sie es in einem POSTROUTINGKontext ausführen .

DNAT schreibt die Zieladresse eines Pakets neu, was bedeutet, dass dies Auswirkungen darauf haben kann, wohin ein Paket geht. Beispielsweise kann ein Paket, das für das Gateway bestimmt ist, neu geschrieben werden, um stattdessen zu einem Computer im Netzwerk zu gelangen. Da das Routing dieses umgeschriebene Ziel bei seiner Entscheidung berücksichtigen soll, damit das Paket tatsächlich dorthin gelangt, wo es benötigt wird, sollte DNAT in einem PREROUTINGKontext ausgeführt werden.

Ich bin mir ziemlich sicher, dass alles, was von der lokalen Maschine kommt, niemals durch den PREROUTINGTisch geht, wie in dieser fantastischen ASCII-Figur zu sehen ist .

Wie die Kettennamen andeuten, PREROUTINGerfolgt dies zunächst, wenn ein Paket empfangen wird, und wird daher basierend darauf weitergeleitet, wohin es geht (Ziel). Nachdem alle anderen Routing-Regeln angewendet wurden, bestimmt die POSTROUTINGKette anhand der Herkunft (Quelle), wohin sie führt.

Auf meinem Server werden beispielsweise alle eingehenden Ports, die weitergeleitet werden sollen (NAT), in der PREROUTINGKette als definiert DNAT, und alle Pakete, die von den NAT-Schnittstellen stammen, durchlaufen die POSTROUTINGKette als SNATund folglich (in diesem Fall) gehen durch die Filterkette FORWARD.

Wenn Sie eine Paketmanipulation unter Linux durchführen, ist der aus Kettenperspektive übliche Pfad PREROUTING als erste Kette und POSTROUTING die letzte Kette im Paketpfad. Es gibt viele Konfigurationen, die ein Router normalerweise hat, die sogar einige Transformationen wie die Auswahl eines IPSec-VPN-Tunnels für einen bestimmten Fluss enthalten. Normalerweise besteht bei SNAT die Absicht, das Paket mit einer Adresse zu senden, die von Hosts erreicht werden kann, die in einem öffentlichen Netzwerk verbunden sind. Solche Änderungen werden am Paket vorgenommen, wenn es den Router verlassen soll, dh POSTROUTING-Level kurz vor dem OUTPUT, um ein Vermischen der IP-Adressen zu vermeiden. In ähnlicher Weise erwartet der Router in umgekehrter Richtung zunächst den tatsächlichen Fluss, damit alle Entscheidungen gemäß den Konfigurationen angewendet werden können, wenn das Paket den Stapel durchläuft.