mac pfctl 可以实现 dnat 吗?

DNAT用于将目的地址重定向到另一个IP地址，就像Linux的iptables -t nat -A PREROUTING。你的规则不生效，可能是因为系统不允许IP转发：

sudo sysctl -w net.inet.ip.forwarding=1 # 启用IP转发

添加DNAT规则：
在/etc/pf.anchors/目录下创建web文件，输入这些内容：

rdr pass on 网络接口 inet proto tcp from any to 172.13.0.99 port 8080 -> 公网ip port 80

将其中的汉字换成你需要的接口和IP。并且在/etc/pf.conf中添加对anchor的引用：

rdr-anchor "web"
load anchor "web" from "/etc/pf.anchors/web"

加载配置并启用PF：

sudo pfctl -f /etc/pf.conf
sudo pfctl -e

可参考这篇文章
macOS 下做 DNAT
在 Mac 上没有 iptables，但你可以使用 Mac 自带的 pf（Packet Filter）来实现类似的端口转发功能。以下是具体步骤：

1.启用 IP 转发：
启用后注意这里如果只能本机可以看我下面的补充

sudo sysctl -w net.inet.ip.forwarding=1

2.创建 PF 配置文件： 创建一个新的 PF 配置文件，例如 /etc/pf.anchors/http，内容如下：

rdr pass on lo0 inet proto tcp from any to 172.13.0.99 port 8080 -> 公网ip port 80

3.修改主 PF 配置文件： 编辑 /etc/pf.conf 文件，添加以下内容：

rdr-anchor "http-forwarding"
load anchor "http-forwarding" from "/etc/pf.anchors/http"

4.验证配置： 使用以下命令验证配置文件是否正确：

sudo pfctl -vnf /etc/pf.anchors/http

5.启用 PF 服务： 启用 PF 服务并加载配置：

sudo pfctl -ef /etc/pf.conf

这样，当你在本地访问 172.13.0.99:8080 时，流量会被重定向到指定的公网 IP 的 80 端口。

补充

1. pf 的 NAT 限制：
2. pf 只能对本机 IP 进行 NAT 转发
3. 不能像 iptables 那样对任意目标 IP (比如不存在的 172.13.0.99) 进行 DNAT

4. iptables vs pf 的主要区别：

   # iptables 可以这样做
   sudo iptables -t nat -A OUTPUT -d 172.13.0.99 -p tcp --dport 8080 -j DNAT --to-destination 公网ip:80
   
   # pf 只能对本机 IP 做转发
   rdr pass on lo0 inet proto tcp from any to 172.13.0.99 port 8080 -> 公网ip port 80

可以将上面步骤1.启用 IP 转发： 这一步之后为网络接口配置别名： 你可以将 172.13.0.99 配置为本地网络接口的别名。这样，pf 会将其视为本地地址，从而允许重定向。以下是具体步骤：

sudo ifconfig lo0 alias 172.13.0.99