prerouting和postrouting不理解

redliquid

我大概清楚一点就是从内网出去的时候用POSTROUTING进来的时候用PREROUTING，可是做透明代理的时候确是用PREROUTING。这是为什么呢？

晨想

因为要一开始就改了来源地址，把所有请求都伪装成网关发出去的请求。

kingduanlian

POSTROUTING是源地址转换，要把你的内网地址转换成公网地址才能让你上网。

PREROUTING是目的地址转换，要把别人的公网IP换成你们内部的IP，才让访问到你们内部受防火墙保护的机器。

sunnygg

pre还是post是根据数据包的流向来确定的。

通常内网到外网是pre，外望到内网是post，但是外还是内只是个相对概念，在一定条件下是可以转换的。落实到网卡上，对于每个网卡数据流入的时候必然经过pre，数量流出必然经过post。

透明代理的原理是将内网到外网的网页访问请求进行重定向，将内网的请求转发回内网的代理服务器，代理服务与网关又是一体，如果使用post进行处理，那么数据就流出了，透明代理设置也就失败了，因此必须在数据流入的时候改写规则，才能及时响应处理请求。

redliquid

Post by sunnygg
pre还是post是根据数据包的流向来确定的。

通常内网到外网是pre，外望到内网是post，但是外还是内只是个相对概念，在一定条件下是可以转换的。落实到网卡上，对于每个网卡数据流入的时候必然经过pre，数量流出必然经过post。

透明代理的原理是将内网到外网的网页访问请求进行重定向，将内网的请求转发回内网的代理服务器，代理服务与网关又是一体，如果使用post进行处理，那么数据就流出了，透明代理设置也就失败了，因此必须在数据流入的时候改写规则，才能及时响应处理请求。

经典，一下就明白多了！