请教 iptables 纯 跳板 的配置方式

如果是 tcp 用 haproxy 就可以。

@smileawei TCP 和 UDP 都需要

-A PREROUTING -i eth0 -p tcp -m tcp --dport 8080 -j DNAT --to-destination 111.111.111.111:80

@hebwjb 只这一条不行吧？

DNAT 搞不定这个事情，因为包的返回路由有问题。当然可以配合搞随机选择端口。 iptables+ haproxy 可以。或者 socat

@drlittlemouse


@hebwjb 這條可以 .加一條 MASQUERADE 到 POSTROUTING

https://xuzhenglun.github.io/2015/02/05/Shadowsocks-relay-based-on-Azure/

不知道对你有木有用，捂脸逃

SNAT DNAT 成对用就好了啊
PREROUTING 如果 dst 为本机， DNAT 到目标站
POSTROUTING 如果 dst 为目标站， SNAT 到本机
总之最后的结果是 src 是本机， dst 是目标站，返回包不用考虑，会自动改回来的。
看着这张图你就明白了 https://erlerobotics.gitbooks.io/erle-robotics-introduction-to-linux-networking/content/security/img9/iptables.gif
记得开 ip_forwarding

@Reficul 您提供的文章中有一个 SS-Relay 和我的应用场景类似，配置后已经可用。

总结一下，其实之前对 SNAT 和 DNAT 的理解并没有错， iptables 规则只要关心单向组装流程即可，会包实际上会被自动 UN-SNAT 和 UN-DNAT 。

@ryd994 回包不考虑是因为 B 利器默认路由是 A 机器。

@chinawrj 还是要考虑的吧，就算是默认路由，如果 ip 包的目标不是自己的话，就会转发出去了

@ryd994 你说的是不用考虑，原话:"如果 dst 为本机， DNAT 到目标站
POSTROUTING 如果 dst 为目标站， SNAT 到本机
总之最后的结果是 src 是本机， dst 是目标站，返回包不用考虑，会自动改回来的。 "

楼主的这个 case 下，如果 B 也是公网机器的话是不能简单使用 DNAT 的，因为客户端连接 A ，然后 A 转发给 B 。使用 DNAT ，则 B 收到包的源地址是客户端，这个没错。但是 B 回复客户端的时候，因为 B 是公网机器不是我们普通的内网以 A 为默认网关的机器，因此包的源地址却变成了 B 且直接发送给 A ，这就造成客户端收到了来自 B 的包，但是其实客户端之前发送的包的目标地址是 A 而不是 B 。在 TCP 协议的情况下， B 回复的包会被直接丢掉。

@chinawrj 我说了要 SNAT DNAT 配对使用啊……
SNAT 就可以了啊
我说自动改回来是 B 回复 A 的时候， A 会把 DST 改回成客户地址