网络拓扑：

1. 主路由 192.168.10.1
2. 旁路由 192.168.10.2 ，static ，默认网关是 192.168.10.1
3. DHCP：主路由下发，下发的网关和 DNS 都指向旁路由
4. 旁路由设置以下转发规则：

• iptables -t nat -I POSTROUTING -o eth0 -j MASQUERADE

1. 内网机器 192.168.10.120
2. 端口转发：8888:主路由公网出口 ==> 192.168.10.120:80

遇到的问题

流量从公网进来，从 192.168.10.1 打到 192.168.10.120 之后，回包是回给公网的，此时回包的数据包回给 192.168.10.2 ，而不是直接给主路由

192.168.10.2 收到其他机器给外网的数据包之后，开始伪装，把 sip 改为自己的 ip ，也就是 NAT 伪装

此时 192.168.10.1 蒙圈了：

1. 入站 visitor:12345 => publicip:8888
2. 转发 visitor:12345 => 10.120:80
3. 回包 10.2:80 => visitor:12345 （这个包的 SRC 存疑，不确定回包的端口号是不是 80 ）
4. 然后发现转发的地址和回包的地址不对，路由器 drop 这个流量，外网收不到回包

可能的解决方案

在默认的伪装策略之前加一条，当来源 ip 是 10.120 且来源端口是 80 的时候，直接接受而不是伪装：

iptables -t nat -I POSTROUTING -o eth0 -p tcp -s 192.168.10.120 --source-port 80 -j ACCEPT
iptables -t nat -I POSTROUTING -o eth0 -j MASQUERADE

但是似乎不生效，求解

看了一下 OP 的 iptables ，发现这个策略没有收到包和流量，看起来是没有命中？