众所周知,iptable的中包含了各种各样的table和规则链条。这篇博文对规则链的执行顺序做一个简单的介绍。

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

DNAT       tcp  --  anywhere             anywhere             tcp dpt: to:172.30.57.2:5000

正常来说,iptable会对一条报文逐条匹配某个表中的规则,如果匹配成功,那么就执行这条规则对应的TARGET。例如上面这条规则的作用是,如果报文满足以下条件:

  • tcp协议
  • 源地址为任何地址
  • 目的地址为任何地址
  • 发送到本地5000端口的(dpt:5000)

那么就做Destination NAT,NAT至172.30.57.2:5000。如果报文匹配了该条规则,那么它会跳出OUTPUT,转而执行下一个对应的规则链。

这个例子说明了当TARGET为DNAT时的情况。但是我们知道iptable中的TARGET有很多种,DNAT只是其中之一。不同的TARGET有不同的跳转规则,有的TARGET在执行完成后就跳出当前的规则链跳往下一个规则链(例如在PREROUTING时从mangel表的PREROUTING链跳往nat表的POSTROUTING链). 而有的TARGET 在执行完成后会接着执行当前规则链中的下一个规则。

从网上抄了一个2007年的博文:

-------------------------------------------------------------------------

iptables 是采用规则堆栈的方式来进行过滤,当一个封包进入网卡,会先检查 Prerouting,然后检查目的 IP 判断是否需要转送出去,接着就会跳到 INPUT 或 Forward 进行过滤,如果封包需转送处理则检查 Postrouting,如果是来自本机封包,则检查 OUTPUT 以及 Postrouting。过程中如果符合某条规则将会进行处理,处理动作除了 ACCEPT、REJECT、DROP、REDIRECT 和 MASQUERADE 以外,还多出 LOG、ULOG、DNAT、SNAT、MIRROR、QUEUE、RETURN、TOS、TTL、MARK 等,其中某些处理动作不会中断过滤程序,某些处理动作则会中断同一规则炼的过滤,并依照前述流程继续进行下一个规则炼的过滤(注意:这一点与 ipchains 不同),一直到堆栈中的规则检查完毕为止。透过这种机制所带来的好处是,我们可以进行复杂、多重的封包过滤,简单的说,iptables 可以进行纵横交错式的过滤(tables)而非炼状过滤(chains)。

    •  ACCEPT 将封包放行,进行完此处理动作后,将不再比对其它规则,直接跳往下一个规则炼(nat:postrouting)。
    •  REJECT
      拦阻该封包,并传送封包通知对方,可以传送的封包有几个选择:ICMP port-unreachable、ICMP echo-reply 或是
      tcp-reset(这个封包会要求对方关闭联机),进行完此处理动作后,将不再比对其它规则,直接 中断过滤程序。 范例如下:iptables -A FORWARD -p TCP --dport 22 -j REJECT --reject-with tcp-reset
    •  DROP 丢弃封包不予处理,进行完此处理动作后,将不再比对其它规则,直接中断过滤程序。
    •  REDIRECT
      将封包重新导向到另一个端口(PNAT),进行完此处理动作后,将 会继续比对其它规则。 这个功能可以用来实作通透式 porxy 或用来保护
      web 服务器。例如:iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT
      --to-ports 8080
    •  MASQUERADE 改写封包来源 IP 为防火墙 NIC IP,可以指定 port
      对应的范围,进行完此处理动作后,直接跳往下一个规则炼(mangle:postrouting)。这个功能与 SNAT 略有不同,当进行 IP
      伪装时,不需指定要伪装成哪个 IP,IP 会从网卡直接读取,当使用拨接连线时,IP 通常是由 ISP 公司的 DHCP 服务器指派的,这个时候
      MASQUERADE 特别有用。范例如下: 
       iptables -t nat -A POSTROUTING -p TCP -j MASQUERADE --to-ports 1024-31000
    • LOG 将封包相关讯息纪录在 /var/log 中,详细位置请查阅 /etc/syslog.conf 组态档,进行完此处理动作后,将会继续比对其它规则。例如:
        iptables -A INPUT -p tcp -j LOG --log-prefix "INPUT packets"
    • SNAT 改写封包来源 IP 为某特定 IP 或 IP 范围,可以指定 port 对应的范围,进行完此处理动作后,将直接跳往下一个规则炼(mangle:postrouting)。范例如下:
        iptables -t nat -A POSTROUTING -p tcp-o eth0 -j SNAT --to-source 194.236.50.155-194.236.50.160:1024-32000
    • DNAT 改写封包目的地 IP 为某特定 IP 或 IP 范围,可以指定 port 对应的范围,进行完此处理动作后,将会直接跳往下一个规则炼(filter:input 或 filter:forward)。范例如下:
        iptables -t nat -A PREROUTING -p tcp -d 15.45.23.67 --dport 80 -j DNAT --to-destination 192.168.1.1-192.168.1.10:80-100
    • MIRROR 镜射封包,也就是将来源 IP 与目的地 IP 对调后,将封包送回,进行完此处理动作后,将会中断过滤程序。
    • QUEUE 中断过滤程序,将封包放入队列,交给其它程序处理。透过自行开发的处理程序,可以进行其它应用,例如:计算联机费用.......等。
    • RETURN 结束在目前规则炼中的过滤程序,返回主规则炼继续过滤,如果把自订规则炼看成是一个子程序,那么这个动作,就相当于提早结束子程序并返回到主程序中。
    • MARK 将封包标上某个代号,以便提供作为后续过滤的条件判断依据,进行完此处理动作后,将会继续比对其它规则。范例如下:iptables -t mangle -A PREROUTING -p tcp --dport 22 -j MARK --set-mark 2

------------------------------------------------------------------------------------

ref: http://bbs.chinaunix.net/thread-936284-1-1.html

还有一种情况这个帖子中没有给出,那就是自定义的规则链。例如:

Chain POSTROUTING (policy ACCEPT)

target     prot opt source               destination

KUBE-POSTROUTING  all  --  anywhere             anywhere             /* kubernetes postrouting rules */

RETURN     all  --  192.168.122.0/     224.0.0.0/

RETURN     all  --  192.168.122.0/     255.255.255.255

MASQUERADE  tcp  --  192.168.122.0/    !192.168.122.0/     masq ports: -

MASQUERADE  udp  --  192.168.122.0/    !192.168.122.0/     masq ports: -

MASQUERADE  all  --  192.168.122.0/    !192.168.122.0/

RETURN     all  --  172.30.0.0/        172.30.0.0/

MASQUERADE  all  --  172.30.0.0/       !224.0.0.0/

RETURN     all  -- !172.30.0.0/        172.30.57.0/

MASQUERADE  all  -- !172.30.0.0/        172.30.0.0/

MASQUERADE  tcp  --  172.30.57.2          172.30.57.2          tcp dpt:

Chain KUBE-POSTROUTING ( references)

target     prot opt source               destination

MASQUERADE  all  --  anywhere             anywhere             /* kubernetes service traffic requiring SNAT */ mark match 0x4000/0x4000

在这个例子中,有两个规则链,分别是iptable默认的POSTROUTTING链,还有一个是kube-proxy定义的KUBE-POSTROUTTING。当报文走到POSTROUTTING是,会匹配第一条。很显然,这条规则会匹配所有的报文。

然后跳转到KUBE-POSTROUTTING规则链,这个规则链只有一条规则,它的意思是如果报文带有0x4000的标记,那么就执行target,也就是MASQUERADE。如果报文不携带0x4000标记,那么该报文就不会匹配这条规则,然后返回,接着匹配

POSTROUTTING中的下一条报文。

最新文章

  1. geolocation/ 百度地图api Geolocation 定位当前城市信息
  2. jquery的ready事件的实现机制浅析
  3. json转换成对象
  4. DataSanp的控制老大-DSServer
  5. CF 445A 简单DP
  6. sqlServer 取每组的前几条数据
  7. Android强制设置横屏或竖屏
  8. 【转】Java基本数据类型
  9. CSS架构目标
  10. 快乐编程学ruby
  11. 部署项目时遇到的问题---IIS7.X配置ASP.NET MVC4
  12. 天天乐宝APP开发
  13. oracle 选取出现次数最多的前5条数据
  14. 使用Postman测试https接口时的小问题记录
  15. pandas常用函数之shift
  16. STM32F4 SPI with DMA
  17. 跟我学SharePoint 2013视频培训课程——自定义网站导航(4)
  18. CSS3:{*zoom:1;}作用
  19. stm32 Flash读写[库函数]
  20. 知识记录——CSS规范(文章内容为转载)

热门文章

  1. string::begin
  2. LNMP原理
  3. SpringBoot统一异常处理后TX-LCN分布式事务无法捕获异常进行回滚
  4. ACM-ICPC 2015 沈阳赛区现场赛 I. Triple && HDU 5517(二维BIT)
  5. Break 和 Continue 语句
  6. 牛客练习赛52 B题【树状数组维护区间和{查询区间和,如果区间元素重复出现则计数一次}】补题ing
  7. 我爱网络流之最大流Dinic
  8. HGOI20191115 模拟赛 题解
  9. 栈的数组和链表实现(Java实现)
  10. python 输出三角形