iptables -t nat prerouting 规则不触发,主因是数据包未进入该链:目标非本机且未开启 ip_forward、被 raw/mangle 表提前跳过、dnat 后路由不可达、或测试流量来自本机(走 output 链而非 prerouting)。
iptables -t nat PREROUTING 规则不触发?先看数据包是否真经过它
PREROUTING 链只处理 ** 进入本机网络栈、尚未决定转发还是本地交付 ** 的数据包。如果目标 IP 不是本机(且未开启 ip_forward),或者包被前面的 raw 或 mangle 表提前标记跳过,PREROUTING 就根本不会执行。
常见错误现象:iptables -t nat -L -v 显示匹配数为 0,但你确信流量应该进来。
- 用
tcpdump -i eth0 port 80确认包确实到达该接口(别只看客户端能不能连) - 检查
sysctl net.ipv4.ip_forward:值为0时,目的非本机的包会被直接丢弃,压根进不了PREROUTING - 运行
iptables -t raw -L -v和iptables -t mangle -L -v,确认没有CT或MARK规则导致跳过NAT表
DNAT 在 PREROUTING 失效?目标地址没改对或路由绕开了
DNAT 的本质是修改 dst 地址,但修改后必须保证内核能正确查到新目标的路由。如果新 dst 是本机网段但没对应接口,或新 dst 被路由表判定为“不可达”,包会静默丢弃,规则看似“生效”实则无果。
使用场景:把外网请求重定向到内网服务(如 192.168.1.100:8080)。
- 确保 DNAT 后的
--to-destination是可达地址(用ip route get 192.168.1.100验证) - 若目标是本机进程,需配合
net.ipv4.conf.all.route_localnet = 1(否则127.0.0.0/8类地址在 PREROUTING 中被拒) - 避免和
OUTPUT链冲突:本地发起的访问目标地址也会走OUTPUT,不是PREROUTING,不要指望一条 DNAT 规则覆盖所有方向
规则加了但没效果?链顺序和表优先级比你想的更关键
iptables 表之间有固定遍历顺序:raw → mangle → nat → filter,而每个表里规则是 ** 从上到下线性匹配 **。一旦某条规则 -j ACCEPT 或 -j DROP,后续规则就不再检查——哪怕它在 nat 表里。
性能影响:nat 表只在连接首包触发,但错误的 filter 表 DROP 会直接终结连接,让 PREROUTING 彻底失去机会。
- 用
iptables -t nat -L -n --line-numbers确认 DNAT 规则位置,它必须在任何可能DROP或REJECT的filter规则之前(虽然不在同一表,但逻辑上早于 filter 执行) - 检查
filter/FORWARD链:DNAT 后若目标是非本机,包会进FORWARD,这里若没ACCEPT,包就被拦住 -
iptables -t nat -A PREROUTING默认加到末尾,但如果你之前已有RETURN或跳转规则,它可能被跳过
为什么从本机 curl 外网地址看不到 PREROUTING 效果?
本地进程发出的包不经过 PREROUTING,而是走 OUTPUT 链。这是内核网络栈的设计硬约束,不是配置问题。
容易踩的坑:用 curl http://your-server-ip 测试 DNAT,却发现规则没触发,误以为配置失败。
- 测试必须来自 ** 其他机器 **(或用
iptables -t nat -A OUTPUT配合DNAT模拟,但仅限调试) - 若非要本机验证,改用
OUTPUT+DNAT(例如iptables -t nat -A OUTPUT -d your-server-ip -j DNAT --to-destination 127.0.0.1:8080),并开启route_localnet - 注意:OUTPUT 链的 DNAT 不影响连接跟踪状态,某些应用(如带 keepalive 的 HTTP 客户端)可能因源端口复用异常而失败
最常被忽略的是:PREROUTING 只属于“入向路径”的一部分,它不负责最终放行,也不处理本地出包。一个看似简单的端口映射,实际横跨路由决策、连接跟踪、多表协同三个层面。调不通时,别急着删规则,先用 tcpdump 和 conntrack -E 看包到底卡在哪一步。
