为啥在pre_routing挂载点上做snat?
因为数据包经过pre_routing点后,协议栈会检测数据包的目的ip,若这之前没有进行snat并发送,网络协议栈会将这个数据包丢弃
目的ip是国内源ip用国外的
因为源ip是伪造的,若伪造的ip真实存在,扫描系统无法收到响应数据包,g设备相当于一台工作在国内外出入口的路由器,可以对满足条件的数据包进行拦截。
只有root身份才能运行docker命令
