[问题求助]请问各位神仙route模式下，wan 外面的机器怎么访问 router后面的机器？？ [复制链接]

困惑我好久了，看资料也看不懂
开nat我知道，netfilter可以保存ip. co.ntrack, 但是如果在route模式， router不经过snat 把lan里.机器的包直接发出去, 这样外网的机器回复这个数据包的时候，他会发给这个l.an ip, 而不是route 的wan ip，这样数据包如何回得来呢？ 这样做route有什么意义呢？投资

谢谢

如果用路由模式，要确定你的内部地址可被外部路由
外面的机器看到的是你路由前的真实地址，而非 NAT 转换后的外网地址
一般情况下，纯路由模式多用于专网，而非互联网（运营商除外）
路由有自己的路由表，类似 ip_conntrack 那样，也会查表

回复 2# platinum

请问是不是这样, router的wan口会监听所有的包，然后在自己的某张表里查找，如果这个包的dest ip是自己身后的机器，就帮他转发？

谢谢

每个机器都有自己的一张路由表，通过 ip r 或 route -n 可以看到
当数据包过来时，机器会匹配自己的路由表，看可否转发
在内核运作时，好像还分成两条路径，一条快速的，一条慢速的，快速的相当于一个 cache，具体的代码没仔细看过

我主要是弄不懂包从router的wan进入的过程
router wan port是不是会把所有 dest ip是自己内网网段的包都收进来然后发给内网的机器?

谢谢

差不多这个意思，但具体实现不是你说的那样，如果想详细了解可以看一下内核里路由的操作

我家路由器的WAN侧IP是ppp1: 33.33.33.33,现在想让别人在公网上访问33.33.33.33，自动跳转到我私网192.168.1.3的apache server上。

规则如下：
# iptables -t nat -A PREROUTING -i ppp1 -p tcp --dport 80 -j DNAT --to 192.168.1.3:80

可别忘了下一条规则哦，我开始就是倒腾了半天还是不行，最后发现是路由器FORWARD表里面没有ACCEPT的
# iptables -t filter -A FORWARD -i ppp1 -p tcp --dport 80 -d 192.168.1.3 -j ACCEPT

这样就OK了，我没明白楼主想问什么....