Linux协议栈转发是指Linux内核利用其内置的网络协议栈，接收从一个网络接口进入的数据包，根据路由决策将其从另一个网络接口发送出去的过程。它让Linux系统能够像路由器一样工作，在不同网段之间传递数据包。
二、核心技术原理

1. IP转发开关

Linux默认关闭IP转发功能，需手动开启：

```bash
临时开启
echo 1 > /proc/sys/net/ipv4/ip_forward

永久开启（编辑/etc/sysctl.conf）
net.ipv4.ip_forward = 1
sysctl -p
```

开启后，内核才会允许非本机的数据包在不同网卡间转发。

2. Netfilter框架与数据包旅程

Linux协议栈转发的核心是Netfilter框架，它在网络层设置了多个钩子点（Hook点），控制数据包的“命运”。转发数据包在内核中的旅程为：

```
网卡入 → NF_IP_PRE_ROUTING → 路由判断 
→ NF_IP_FORWARD → NF_IP_POST_ROUTING → 网卡出
```

其中NF_IP_FORWARD是转发流量的关键钩子点，iptables的FORWARD链就挂载于此，用于过滤转发流量。

3. sk_buff数据结构

内核使用`sk_buff`结构管理数据包，通过指针操作实现零拷贝转发，提升处理效率。数据包在各层间传输时，内核通过移动指针逐层解析，避免频繁的大段数据拷贝。

三、NAT转发类型

协议栈转发常配合NAT（网络地址转换）实现网络互通：

| 类型 | 作用 | iptables链 | 场景 |
|------|------|-----------|------|
| SNAT | 修改源IP | POSTROUTING | 内网共享上网 |
| DNAT | 修改目的IP | PREROUTING | 端口映射、负载均衡 |
| MASQUERADE | 动态SNAT | POSTROUTING | IP不固定的出口 |

四、应用场景

| 场景 | 说明 |
|------|------|
| 软路由 | Linux做家庭/企业网关，连接内外网 |
| 容器网络 | Docker/K8s的bridge模式依赖协议栈转发 |
| VPN服务 | 隧道数据包的解封装与转发 |
| 端口转发 | DNAT实现公网访问内网服务 |

一句话总结：开启ip_forward → 理解Netfilter钩子点 → 配置iptables规则，即可实现Linux协议栈转发。
另外，可以借助 80KM 端口流量转发程序，搭建流量中转节点，所有外网访问经过节点再回源，彻底隐藏真实 IP。支持 80、443 常用网页端口，兼容各大系统。