程式在iptables預設的規則 - Linux

※ 引述《nuclex (core)》之銘言：
: 我裝了lxc
: 發現在iptables 裡的 nat table 多了這麼條規則
: -A POSTROUTING -S 10.0.3.0/24 ! -d 10.0.3.0/24 -j MASQUERADE
: 小弟端詳很久 不太懂他在幹嘛的... 也google不到orz
: 斗膽猜測：只要從 10.0.3.0/24 網斷出來的封包 要去的目的地
: 不是10.0.3.0/24網斷 的話 就要偽裝!!
: 敢問各位大大 我是否猜對惹？
: ------
算是對的
用 MASQUERADE 算是偷懶的用法
"偽裝成本機送出封包的樣子"

: 其他問題：
: 1. 偽裝(MASQUERADE)，到底在幹嘛？
: 究小弟了解，偽裝作的事 是 私用IP 和 公用IP 在傳送時候的轉換
: 這NAT也作的到 為什麼還要多個 MASQUERADE 動作？
NAT 的寫法比較完整正式吧
寫法本來就可能有多種，
MASQUERADE 是其中一種方便的方式

: 2. POSTROUTING 的規則可以寫在 PREROUTING 嗎？
: 這兩個鍊(Chain)，參考鳥哥，是封包進出機器時都會經過的
: 規則寫在 POSTROUTING 還可能經過其它 Table(filter)
: 那寫在 PREROUTING 還可以少幾個判斷
: 像-A POSTROUTING -S 10.0.3.0/24 ! -d 10.0.3.0/24 -j MASQUERADE
: 能寫在 PREROUTING 嗎？

封包簡單表達成下列:

| xx | 目的IP | 目的PORT | 來源IP | 來源PORT | xxx..... | ... |

PREROUTING 是目的IP 的轉換
POSTROUTING 是來源IP 的轉換
你可試試，POSTROUTING 的 RULE 應該是寫不進 PREROUTING 的 CHAIN 的

--