INPUT表中的链条有什么用途nat?
PREROUTING表中的链已经nat对DNAT传入数据包的目标地址()进行转换......就像通常所说的“端口转发”一样。
和nat:INPUT链nat:PREROUTING似乎是多余的。
链的典型用途是什么nat:INPUT,但无法在nat:PREROUTING链中实现?
答案1
如果某些 NAT 操作仅需要针对此 netfilter 处于活动状态的主机本身进行,则如果 NAT 规则在链中INPUT而不是PREROUTING链中,性能会更好。
发生这种情况的原因是只有发往主机的数据包才会被发送到 INPUT 链。如果规则在 PREROUTING 链中,则所有转发的数据包都需要根据规则进行检查。
此外,有些情况下人们不想对转发的流量应用任何 NAT,而只想对目的地是主机本身的流量应用 NAT。