iptables 的 redirect 动作，对 IP 包到底做了什么？

内核会记住原来的目标地址，getsockopt 有个参数可以获取。

内核帮你划分了一个用来做 mapping 的区域，所以叫透明代理，对你的应用是透明的。

tproxy 部分：
1. 先用 setsockopt 函数为套接字设置 IP_TRANSPARENT 标识
2. accept 后，对 socket 进行 getsockopt(SO_ORIGINAL_DST)操作，获取原始的 ip 端口
3. 但 udp 没有 socket 对象，所以如下：
4. 通过 setsockopt(fd, SOL_IP, IP_RECVORIGDSTADDR, ...)给 socket 设置 IP_RECVORIGDST
5. 用 recvmsg 函数替代 recvfrom/recv 来接收数据包，返回的结果里有 msghdr 结构体，并遍历(cmsghdr*)msg_control ，找到 level 为 SOL_IP 的结构体，它就包含了 sockaddr_in 原始 IP 和端口。


其中 1 、2 是 redirect ，其他事 tproxy 扩展的。

另外，配置的时候要额外注意下 iptables 的配置，防止出现网络问题。比如我有一次就是 drop 了 tcp 握手中的 ack+syn 包，google 封禁了 IP （直接无法搜索）。https://github.com/robberphex/luci-app-v2ray/blob/v2.2.4/root/etc/init.d/luci_v2ray#L583

@billlee
@bao3
@RobberPhex

谢谢，也就是说 redirect 会修改 IP 包 目的端口 等信息，但代理程序通过其他方式可以获取到原始的目的等信息，所以能完成代理功能！

透明代理
一般情况下本机监听的就是 realServer 的 ip 跟端口 不存在修改

@RobberPhex 咨询一下 1 、2 对应的代码在哪个文件里?

参考 https://www.netfilter.org/documentation/HOWTO/NAT-HOWTO-6.html#ss6.2

There is a specialized case of Destination NAT called redirection: it is a simple convenience which is exactly equivalent to doing DNAT to the address of the incoming interface.

我印象里十年前这个模块叫做 conntrack ？

@alexapollo 和 conntrack 根本两码事

@julyclyde 楼上的 DNAT 让我触发了回忆，那时候 DNAT 不是默认 conntrack 吗

@alexapollo “带有”conntrack ，和“是”conntrack 两码事

@julyclyde Sounds reasonable