资料整理POSTROUTING与PREROUTING区别详解

我大概清楚一点就是从内网出去的时候用POSTROUTING进来的时候用PREROUTING，可是做透明代理的时候确是用PREROUTING。这是为什么呢？
回复: sunnygg
pre还是post是根据数据包的流向来确定的。
通常内网到外网是pre，外望到内网是post，但是外还是内只是个相对概念，在一定条件下是可以转换的。落实到网卡上，对于每个网卡数据流入的时候必然经过pre，数量流出必然经过post。
透明代理的原理是将内网到外网的网页访问请求进行重定向，将内网的请求转发回内网的代理服务器，代理服务与网关又是一体，如果使用post进行处理，那么数据就流出了，透明代理设置也就失败了，因此必须在数据流入的时候改写规则，才能及时响应处理请求。
回复：
POSTROUTING是源地址转换，要把你的内网地址转换成公网地址才能让你上网。
PREROUTING是目的地址转换，要把别人的公网IP换成你们内部的IP，才让访问到你们内部受防火墙保护的机器。
回复：
1,你首先要明白什么是"PREROUTING" ，什么是"POSTROUTING"，我们可以简单的用下面的关系来表示：
源地址发送数据--> {PREROUTING-->路由规则-->POSTROUTING} -->目的地址接收到数据
当你使用：iptables -t nat -A PREROUTING -i eth1 -d 1.2.3.4 -j DNAT --to 192.168.1.40
时，你访问1.2.3.4，linux路由器会在“路由规则”之前将目的地址改为192.168.1.40，并且Linux路由器（iptables）会同时记录下这个连接，并在数据从192.168.1.40返回时，经过linux路由器将数据发送到那台发出请求的机器。所以你的"POSTROUTING"规则没有起作用。
而"POSTROUTING"是“路由规则”之后的动作。
2,你最好能有个详细的网络拓扑图，这样我可以更好的给你解释。
3,我可以具一个简单的例子说明"PREROUTING"和"POSTROUTING"的不同应用环境：
3.1 PREROUTING的应用，
一般情况下，PREROUTING应用在普通的NAT中（也就是SNAT），如：你用ADSL上网，这样你的网络中只有一个公网IP地址（如：61.129.66.5），但你的局域网中的用户还要上网（局域网IP地址为：192.168.1.0/24），这时你可以使用PREROUTING(SNAT)来将局域网中用户的IP地址转换成61.129.66.5，使他们也可以上网：
iptables -t nat -A PREROUTING -s 192.168.1.0/24 -j SNAT 61.129.66.5
3.2 POSTROUTING的应用，
POSTROUTING用于将你的服务器放在防火墙之后，作为保护服务器使用，例如：
A.你的服务器IP地址为：192.168.1.2；
B.你的防火墙（Linux & iptables）地址为192.168.1.1和202.96.129.5
Internet上的用户可以正常的访问202.96.129.5,但他们无法访问192.168.1.2，这时在Linux防火墙里可以做这样的设置：
iptables -t nat -A POSTROUTING -d 202.96.129.5 -j DNAT 192.168.1.2
结：最要紧的是我们要记住PREROUTING是“路由规则”之前的动作，POSTROUTING是“路由规则”之后的动作！

使用端口映射。比如服务器在内网192.168.0.5，服务端口8080;网关IP222.240.9.211，使用网关端口8080映射到服务器8080。命令如下：
1 #iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
   //# iptables -t nat -A POSTROUTING -d 192.168.0.0/24 -p tcp -j SNAT --to-source 222.240.9.211
   //# iptables -t nat -A POSTROUTING -d 192.168.0.5 -p tcp --dport 8080 -j SNAT --to-source 222.240.9.211 //特定一个ip特定的port使用nat
2 # iptables -t nat -A PREROUTING -p tcp -d 222.240.9.211 --dport 8080 -j DNAT --to 192.168.0.5:8080
3 # iptables -t nat -A POSTROUTING -d 192.168.0.5 -p tcp --dport 8080 -j SNAT --to-source 222.240.9.211
第1句用于当外网接口不是使用静态IP而是动态分配时内网使用snat方式连接出去，这时它会根据接口自动判断向外链接时伪装的源地址。如果使用静态IP，那么最好使用snat，可以减少对系统的压力，因为它不用判断要使用哪个IP进行伪装。也就是说，MASQUERADE方式是snat方式的一种结合系统功能的特例，它不用像snat一样指明--to-source，而转由系统自动判断。
第2个命令进行端口映射。如果是启动系统后配置必须要使用-d <外部接口IP>，而不能使用 -i <接口名称>。如果在启动时使用init，应该可以使用后者，不过没有测试。
第3个命令对内网的某个特定ip特定port使用固定snat。好像这句可以不使用，不过测试时没有这句建立了链接但好像没有数据传输。