同一台机器上两个网卡之间通讯,发数据的网卡 A 走output -> postrouting, 收数据网卡 B 走prerouting -> input,是这样吗? 如果在output 将目的地址修改为自身,那是不是A网卡还要走一遍prerouting -> input?
你这里是这两个接口IP互访还是通过这两个接口转发数据时链的匹配顺序问题?链的匹配顺序是相对数据经过内核的,不是针对接口的,接口只是一个匹配项而已
我在centos7上进行了测试,我在prerouting 添加了一条禁止192.168.1.100(本机IP) 的规则,我在本机上访问192.168.1.100 可以访问成功,我在另一台机器上访问192.168.1.100访问失败,我的结论是 同本机上如果使用同一个网卡进行访问是不走prerouting跟postrouting的,那么如果外部数据只要经过网卡(另一个网卡也算)就会走prerouting与postrouting.
这个问题的产生是因为istio的envoy默认创建的iptables里面,当请求从envoy代理出来后转移到内部应用时为什么不被prerouting拦截?