后链上的DNAT

Question

如果我试图在iptables中NAT表的POSTROUTING链中执行DNAT，会发生什么？

假设我将POSTROUTING链中的数据包的目标IP更改为应该通过不同接口路由的地址。包裹会发生什么事？

1. 即使在做出了所有路由决定之后，主机是否也能够将数据包路由到正确的接口。
2. 或者，该数据包是否仍然通过之前在路由决策中决定的接口发送。

Answer 1

这两个选项都不正确。正确的答案是：

1. 会出现一个错误。

因为DNAT只能用于预选或输出链。

Answer 2

要查看通过iptable的数据包流，请检查NetFilter iptables数据包流图。

https://upload.wikimedia.org/wikipedia/commons/3/37/Netfilter-packet-flow.svg

简单地说，路由决策发生在预选之后和后处理之前。

另外，我认为你无论如何都不能做DNAT测试。iptables将引发语法错误。