iptables 规则

iptables 基础简介_自定义

iptables 的功能

Iptabels是与Linux内核集成的包过滤防火墙系统,几乎所有的linux发行版本都会包含Iptables的功能。如果 Linux 系统连接到因特网或 LAN、服务器或连接 LAN 和因特网的代理服务器, 则Iptables有利于在 Linux 系统上更好地控制 IP 信息包过滤和防火墙配置。

netfilter/iptables过滤防火墙系统是一种功能强大的工具,可用于添加、编辑和除去规则,这些规则是在做信息包过滤决定时,防火墙所遵循和组成的规则。这些规则存储在专用的信 息包过滤表中,而这些表集成在 Linux 内核中。在信息包过滤表中,规则被分组放在我们所谓的链(chain)中。

虽然netfilter/iptables包过滤系统被称为单个实体,但它实际上由两个组件netfilter 和 iptables 组成。

netfilter 组件也称为内核空间(kernelspace),是内核的一部分,由一些信息包过滤表组成,这些表包含内核用来控制信息包过滤处理的规则集。

iptables 组件是一种工具,也称为用户空间(userspace),它使插入、修改和除去信息包过滤表中的规则变得容易。

iptables 的相关概念

1.规则(rules)

规则(rules)其实就是网络管理员预定义的条件,规则一般的定义为“如果数据包头符合这样的条件,就这样处理这个数据包”。规则存储在内核空间的信息包过滤表中,这些规则分别指定了源地址、目的地址、传输协议(如TCP、UDP、ICMP)和服务类型(如HTTP、FTP和SMTP)等。当数据包与规则匹配时,iptables就根据规则所定义的方法来处理这些数据包,如放行(accept)、拒绝(reject)和丢弃(drop)等。配置防火墙的主要工作就是添加、修改和删除这些规则。

2.表(tables)

表(tables)提供特定的功能,iptables内置了5个表,即raw表、filter表、nat表、mangle表和 security 表,分别用于实现包过滤,网络地址转换和包重构的功能。

五张表分别为:

  • filter 表:过滤规则表,根据预定义的规则过滤符合条件的数据包。用于控制到达某条链上的数据包是继续放行、直接丢弃(drop)还是拒绝(reject);
  • nat 表:network address translation 网络地址转换,用于修改数据包的源地址和目的地址;
  • mangle 表:用于修改数据包的 IP 头信息,修改数据标记位规则表;
  • raw 表:iptables 是有状态的,其对数据包有链接追踪机制,连接追踪信息在 /proc/net/nf_conntrack 中可以看到记录,而 raw 是用来去除链接追踪机制的,加快封包穿越防火墙速度;
  • security 表:最不常用的表,用在 SELinux 上;用于强制访问控制(MAC)网络规则,由Linux安全模块(如SELinux)实现。

这五张表是对 iptables 所有规则的逻辑集群且是有顺序的,当数据包到达某一条链时会按表的顺序进行处理,表的优先级为:raw、mangle、nat、filter、security。

3.链(chains)

链(chains)是数据包传播的路径,每一条链其实就是众多规则中的一个检查清单,每一条链中可以有一条或数条规则。当一个数据包到达一个链时,iptables就会从链中第一条规则开始检查,看该数据包是否满足规则所定义的条件。如果满足,系统就会根据该条规则所定义的方法处理该数据包;否则iptables将继续检查下一条规则,如果该数据包不符合链中任一条规则,iptables就会根据该链预先定义的默认策略来处理数据包。

内置的五条链分别为:

  • PREROUTING 链:数据包进入路由之前,可以在此处进行 DNAT;
  • INPUT 链:一般处理本地进程的数据包,目的地址为本机;
  • FORWARD 链:一般处理转发到其他机器或者 network namespace 的数据包;
  • OUTPUT 链:原地址为本机,向外发送,一般处理本地进程的输出数据包;
  • POSTROUTING 链:发送到网卡之前,可以在此处进行 SNAT;

自定义链:

  • 用于对内置链进行扩展或补充,可实现更灵活的规则组织管理机制。自定义链最终要应用于默认链上,才能起作用。

iptables 表和链对应关系

iptables 基础简介_linux_02

iptables 的工作流程

内核中数据包的传输过程

  • 当一个数据包进入网卡时,数据包首先进入PREROUTING链,内核根据数据包目的IP判断是否需要转送出去。
  • 如果数据包是进入本机的,数据包就会沿着图向下移动,到达INPUT链。数据包到达INPUT链后,任何进程都会收到它。
  • 本机上运行的程序可以发送数据包,这些数据包经过OUTPUT链,然后到达POSTROUTING链输出。
  • 如果数据包是要转发出去的,且内核允许转发,数据包就会向右移动,经过FORWARD链,然后到达POSTROUTING链输出。

iptables 的工作流程如下图所示:

iptables 基础简介_Linux系统_03

iptabels 常用命令

iptables [-t 表名] 管理选项 [链名] [匹配条件] [-j 控制类型]
# 控制类型包括 ACCETP REJECT DROP LOG 还有自定义的链(k8s的链)等
iptabels -t nat(表名) -nvL POSTROUTING(链的名字)

 

参考文章

​kube-proxy iptables 模式源码分析 · 田飞雨 (tianfeiyu.com)​

​超级详细的iptable教程文档 - Dicky_Zhang - 博客园 (cnblogs.com)​

​k8s svc之 iptables规则 - 作业部落 Cmd Markdown 编辑阅读器 (zybuluo.com)​

​iptables经典入门教程 – 运维派 (yunweipai.com)​

​iptables系列教程(一)| iptables入门篇 - 掘金 (juejin.cn)​