iptables里的源和目的是哪个……

[冲浪板]

比如A和B都是通过路由器上的网，各自有公网IP，IP-A、IP-B，他们自己也有私网IP，比如ip-a、ip-b，
那么B机器里写个iptables规则，允许（或禁止）A访问B，用-s的时候，写的是哪个？是IP-A还是ip-a,或者是IP-B；-d呐，写哪个，因为A访问B必然是用的IP-B，然后转到B机器的。
问这个，是因为这两边不都是做过NAT嘛，这里规则咋写。别考虑动态问题，就说当时。

btw:比如A通过隧道访问B的，比如tunnels，然后访问了C，又如何写“源”和“目的”。虽然试验一下可以看出来，可……没环境哈

[astolia]

源地址就是自己私网地址
目标地址看你怎么访问的，如果你是通过对方公网IP访问，那就是公网地址，如果是通过对方私网IP访问，那就是私网地址

[冲浪板]

源地址就是自己私网地址
目标地址看你怎么访问的，如果你是通过对方公网IP访问，那就是公网地址，如果是通过对方私网IP访问，那就是私网地址

是这个意思么，那样的话就没法设置了，就说源，那是N多的私网用的是类似的吧，比如192.168.1.X；感觉上是他出网的时候被替换的那个，而且是公网的……，
再说目的，A是在外网上，那就是公网的了，可是影射后才访问得到B；那么是要写两条了？因为内、外网……

btw:这规则是在B机，就是被访问的这机器上做的。
怎么感觉，是写反了的……这里问的是，在B机上做规则，对于INPUT，那么源是A的，目的是B的，不知道写他俩的公还是私；
外对OUTPUT，源是B机的私网呗，那么目的就是A的公网呗，私网也访问不到嘛；这也是你的意思吧。

[astolia]

确实我看错了，2楼说的是对外output的情况。目的是私网地址也是可能的，比如是通过vpn方式连接的，那么目的就会是对方在vpn中的私网地址。
input就是反过来，源地址是对方的公网或私网地址，目的是自己的私网地址

[冲浪板]

哦……
如此的：{A....->route} ..... ^ ........{route.....B}
B机加规则，input ，目的就是B自己IP呗；因为目的就是这个机，和它route没关系；
设置源的话，是写A的内网IP还是写它的公网IP，不用vpn的话，感觉应该写公网IP，各种例子也是那么写的。（用vpn之类的，是不是要两条规则都通过才可以么，一个是对vpn连接的是公网IP，一个是私网IP,）

那对于output，因为包是出B机，不是说出“B的route”，所以写B自己的IP，就是私网IP了（其实不论公和私，是B自己IP才对）。

这些理解是对的不。有没有错的部分。

[冲浪板]

这么说吧，比如我访问你内网的服务，比如是web，你设置规则禁止或允许我访问之，那么对input和output，那么关于我的IP，写我公网还是私网的呐。

概念不论，仅推理一下，和我一样用192.168.1.5的，多得是吧，那这设置就不对头了呗，用公网IP才合适，那样才能限制或允许“我”，（我不重新拨号IP也不会变）。

就是不知是不是这样，因为没读过相关的……

[astolia]

你知道内外网之间有NAT，但NAT是具体怎么运作的却不清楚？去学一下吧，别光在这里瞎想，思而不学则殆。