我的路由器(运行OpenWrt Attitude adjustment 12.09)有一个公共IP地址,我的电脑在我的局域网中。因此,很自然地,我将伪装出站(我→互联网)流量以使其能够访问互联网。我的设置:
从文字上看:
| 区域 ⇒ 转发 | 输入 | 输出 | 转发 | 伪装 |
|---|---|---|---|---|
| 兰⇒湾 | 接受 | 接受 | 接受 | (未选中) |
| 湾⇒兰 | 接受 | 接受 | 拒绝 | (已勾选) |
如果我取消选中 Masquerading在第二行中,我将无法访问互联网。而且通过iptables-save我发现表中MASQUERADE链的目标已经没有了。zone_nat_wannat
所以我的问题是:“wan ⇒ lan”不是指从 WAN 到 LAN 的流量吗?如果不是,那意味着什么?
答案1
这取决于(tm)。 WAN 区域(示例中的 WAN->LAN)涉及从 WAN 到 LAN 的流量(用于“转发”(已建立的连接)、从 LAN 到 WAN 的流量(用于“输出”)以及从 WAN 到 LAN(所有其他数据包)的流量用于“输入” 。
通过将数据包的源地址设置为接口地址并使用 conntrack 保存状态,对特定接口的传出数据包应用伪装,因此开发人员选择将其解释为“Masquerade WAN = 伪装 WAN 接口上的传出数据包” 。当然,有人可能会说,在 LAN 接口上启用伪装更有意义,因为这是被伪装的网络,所以这更多是一个视角问题。