在NAT中的hairpin是什么意思

nat hairpin也可以叫端口回流或者NAT回环

内网：192.168.1.2，内网服务器：192.168.1.254

外网：10.0.0.2

不开启nat hairpin，访问流量路径是：从192.168.1.2直接走内网访问服务器192.168.1.254。

在端口开启nat hairpin enable后，路径就是192.168.1.2到NAT端口10.0.0.2转换后再访问192.168.1.254。相当于从外网NAT接口绕了一圈再访问192.168.1.254。

这样做的好处就是，所有访问服务器的流量都是经过防火墙控制，从而拒绝了来自内网的内部攻击（防止内鬼）。

brctlhairpin默认不开启。

因为brctl可能版本不支持 hairpin命令，所以brctlhairpin默认不开启。

brctl 用来管理以太网桥，在内核中建立、维护、检查网桥配置。一个网桥一般用来连接多个不同的网络，这样这些不同的网络就可以像一个网络那样进行通讯。网桥是一种在链路层实现中继，对帧进行转发的技术，根据MAC分区块，可隔离碰撞，将网络的多个网段在数据链路层连接起来的网络设备。网桥工作在数据链路层，将两个LAN连起来，根据MAC地址来转发帧，可以看作一个“底层的路由器。

---