Linux prerouting和postrouting的区别

pre还是post是根据数据包的流向来确定的。

通常内网到外网是post，外望到内网是pre，但是外还是内只是个相对概念，在一定条件下是可以转换的。落实到网卡上，对于每个网卡数据流入的时候必然经过pre，数量流出必然经过post。

透明代理的原理是将内网到外网的网页访问请求进行重定向，将内网的请求转发回内网的代理服务器，代理服务与网关又是一体，如果使用post进行处理，那么数据就流出了，透明代理设置也就失败了，因此必须在数据流入的时候改写规则，才能及时响应处理请求。

POSTROUTING是源地址转换，要把你的内网地址转换成公网地址才能让你上网。

PREROUTING是目的地址转换，要把别人的公网IP换成你们内部的IP，才让访问到你们内部受防火墙保护的机器。

1,你首先要明白什么是"PREROUTING" ，什么是"POSTROUTING"，我们可以简单的用下面的关系来表示：

源地址发送数据--> {PREROUTING-->路由规则-->POSTROUTING} -->目的地址接收到数据

当你使用：iptables -t nat -A PREROUTING -i eth1 -d 1.2.3.4 -j DNAT --to 192.168.1.40
时，你访问1.2.3.4，linux路由器会在“路由规则”之前将目的地址改为192.168.1.40，并且Linux路由器（iptables）会同时记录下这个连接，并在数据从192.168.1.40返回时，经过linux路由器将数据发送到那台发出请求的机器。所以你的"POSTROUTING"规则没有起作用。

而"POSTROUTING"是“路由规则”之后的动作。

2,你最好能有个详细的网络拓扑图，这样我可以更好的给你解释。

3,我可以具一个简单的例子说明"PREROUTING"和"POSTROUTING"的不同应用环境：

3.1 PREROUTING的应用，
一般情况下，PREROUTING应用在普通的NAT中（也就是SNAT），如：你用ADSL上网，这样你的网络中只有一个公网IP地址（如：61.129.66.5），但你的局域网中的用户还要上网（局域网IP地址为：192.168.1.0/24），这时你可以使用PREROUTING(SNAT)来将局域网中用户的IP地址转换成61.129.66.5，使他们也可以上网：
iptables -t nat -A PREROUTING -s 192.168.1.0/24 -j SNAT 61.129.66.5

3.2 POSTROUTING的应用，
POSTROUTING用于将你的服务器放在防火墙之后，作为保护服务器使用，例如：
A.你的服务器IP地址为：192.168.1.2；
B.你的防火墙（Linux & iptables）地址为192.168.1.1和202.96.129.5

Internet上的用户可以正常的访问202.96.129.5,但他们无法访问192.168.1.2，这时在Linux防火墙里可以做这样的设置：
iptables -t nat -A POSTROUTING -d 202.96.129.5 -j DNAT 192.168.1.2

结：最要紧的是我们要记住PREROUTING是“路由规则”之前的动作，POSTROUTING是“路由规则”之后的动作！

 

本文： 总结、整理来自互联网