码迷,mamicode.com
首页 > 其他好文 > 详细

iptable规则的执行顺序

时间:2019-10-15 17:34:16      阅读:132      评论:0      收藏:0      [点我收藏+]

标签:意思   net   rect   ipchains   条件判断   开发   不同   代号   好处   

众所周知,iptable的中包含了各种各样的table和规则链条。这篇博文对规则链的执行顺序做一个简单的介绍。

Chain OUTPUT (policy ACCEPT)
target prot opt source destination DNAT tcp
-- anywhere anywhere tcp dpt:5000 to:172.30.57.2:5000

 

正常来说,iptable会对一条报文逐条匹配某个表中的规则,如果匹配成功,那么就执行这条规则对应的TARGET。例如上面这条规则的作用是,如果报文满足以下条件:

  • tcp协议
  • 源地址为任何地址
  • 目的地址为任何地址
  • 发送到本地5000端口的(dpt:5000)

那么就做Destination NAT,NAT至172.30.57.2:5000。如果报文匹配了该条规则,那么它会跳出OUTPUT,转而执行下一个对应的规则链。

这个例子说明了当TARGET为DNAT时的情况。但是我们知道iptable中的TARGET有很多种,DNAT只是其中之一。不同的TARGET有不同的跳转规则,有的TARGET在执行完成后就跳出当前的规则链跳往下一个规则链(例如在PREROUTING时从mangel表的PREROUTING链跳往nat表的POSTROUTING链). 而有的TARGET 在执行完成后会接着执行当前规则链中的下一个规则。

从网上抄了一个2007年的博文:

-------------------------------------------------------------------------

iptables 是采用规则堆栈的方式来进行过滤,当一个封包进入网卡,会先检查 Prerouting,然后检查目的 IP 判断是否需要转送出去,接着就会跳到 INPUT 或 Forward 进行过滤,如果封包需转送处理则检查 Postrouting,如果是来自本机封包,则检查 OUTPUT 以及 Postrouting。过程中如果符合某条规则将会进行处理,处理动作除了 ACCEPT、REJECT、DROP、REDIRECT 和 MASQUERADE 以外,还多出 LOG、ULOG、DNAT、SNAT、MIRROR、QUEUE、RETURN、TOS、TTL、MARK 等,其中某些处理动作不会中断过滤程序,某些处理动作则会中断同一规则炼的过滤,并依照前述流程继续进行下一个规则炼的过滤(注意:这一点与 ipchains 不同),一直到堆栈中的规则检查完毕为止。透过这种机制所带来的好处是,我们可以进行复杂、多重的封包过滤,简单的说,iptables 可以进行纵横交错式的过滤(tables)而非炼状过滤(chains)。

    •  ACCEPT 将封包放行,进行完此处理动作后,将不再比对其它规则,直接跳往下一个规则炼(nat:postrouting)。
    •  REJECT 拦阻该封包,并传送封包通知对方,可以传送的封包有几个选择:ICMP port-unreachable、ICMP echo-reply 或是 tcp-reset(这个封包会要求对方关闭联机),进行完此处理动作后,将不再比对其它规则,直接 中断过滤程序。 范例如下:iptables -A FORWARD -p TCP --dport 22 -j REJECT --reject-with tcp-reset
    •  DROP 丢弃封包不予处理,进行完此处理动作后,将不再比对其它规则,直接中断过滤程序。
    •  REDIRECT 将封包重新导向到另一个端口(PNAT),进行完此处理动作后,将 会继续比对其它规则。 这个功能可以用来实作通透式 porxy 或用来保护 web 服务器。例如:iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 8080
    •  MASQUERADE 改写封包来源 IP 为防火墙 NIC IP,可以指定 port 对应的范围,进行完此处理动作后,直接跳往下一个规则炼(mangle:postrouting)。这个功能与 SNAT 略有不同,当进行 IP 伪装时,不需指定要伪装成哪个 IP,IP 会从网卡直接读取,当使用拨接连线时,IP 通常是由 ISP 公司的 DHCP 服务器指派的,这个时候 MASQUERADE 特别有用。范例如下: 
       iptables -t nat -A POSTROUTING -p TCP -j MASQUERADE --to-ports 1024-31000
    • LOG 将封包相关讯息纪录在 /var/log 中,详细位置请查阅 /etc/syslog.conf 组态档,进行完此处理动作后,将会继续比对其它规则。例如:
        iptables -A INPUT -p tcp -j LOG --log-prefix "INPUT packets"
    • SNAT 改写封包来源 IP 为某特定 IP 或 IP 范围,可以指定 port 对应的范围,进行完此处理动作后,将直接跳往下一个规则炼(mangle:postrouting)。范例如下:
        iptables -t nat -A POSTROUTING -p tcp-o eth0 -j SNAT --to-source 194.236.50.155-194.236.50.160:1024-32000
    • DNAT 改写封包目的地 IP 为某特定 IP 或 IP 范围,可以指定 port 对应的范围,进行完此处理动作后,将会直接跳往下一个规则炼(filter:input 或 filter:forward)。范例如下:
        iptables -t nat -A PREROUTING -p tcp -d 15.45.23.67 --dport 80 -j DNAT --to-destination 192.168.1.1-192.168.1.10:80-100
    • MIRROR 镜射封包,也就是将来源 IP 与目的地 IP 对调后,将封包送回,进行完此处理动作后,将会中断过滤程序。
    • QUEUE 中断过滤程序,将封包放入队列,交给其它程序处理。透过自行开发的处理程序,可以进行其它应用,例如:计算联机费用.......等。
    • RETURN 结束在目前规则炼中的过滤程序,返回主规则炼继续过滤,如果把自订规则炼看成是一个子程序,那么这个动作,就相当于提早结束子程序并返回到主程序中。
    • MARK 将封包标上某个代号,以便提供作为后续过滤的条件判断依据,进行完此处理动作后,将会继续比对其它规则。范例如下:iptables -t mangle -A PREROUTING -p tcp --dport 22 -j MARK --set-mark 2

------------------------------------------------------------------------------------

ref: http://bbs.chinaunix.net/thread-936284-1-1.html

还有一种情况这个帖子中没有给出,那就是自定义的规则链。例如:

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination         
KUBE-POSTROUTING  all  --  anywhere             anywhere             /* kubernetes postrouting rules */
RETURN     all  --  192.168.122.0/24     224.0.0.0/24        
RETURN     all  --  192.168.122.0/24     255.255.255.255     
MASQUERADE  tcp  --  192.168.122.0/24    !192.168.122.0/24     masq ports: 1024-65535
MASQUERADE  udp  --  192.168.122.0/24    !192.168.122.0/24     masq ports: 1024-65535
MASQUERADE  all  --  192.168.122.0/24    !192.168.122.0/24    
RETURN     all  --  172.30.0.0/16        172.30.0.0/16       
MASQUERADE  all  --  172.30.0.0/16       !224.0.0.0/4         
RETURN     all  -- !172.30.0.0/16        172.30.57.0/24      
MASQUERADE  all  -- !172.30.0.0/16        172.30.0.0/16       
MASQUERADE  tcp  --  172.30.57.2          172.30.57.2          tcp dpt:5000

Chain KUBE-POSTROUTING (1 references)
target     prot opt source               destination         
MASQUERADE  all  --  anywhere             anywhere             /* kubernetes service traffic requiring SNAT */ mark match 0x4000/0x4000

在这个例子中,有两个规则链,分别是iptable默认的POSTROUTTING链,还有一个是kube-proxy定义的KUBE-POSTROUTTING。当报文走到POSTROUTTING是,会匹配第一条。很显然,这条规则会匹配所有的报文。

然后跳转到KUBE-POSTROUTTING规则链,这个规则链只有一条规则,它的意思是如果报文带有0x4000的标记,那么就执行target,也就是MASQUERADE。如果报文不携带0x4000标记,那么该报文就不会匹配这条规则,然后返回,接着匹配

POSTROUTTING中的下一条报文。

iptable规则的执行顺序

标签:意思   net   rect   ipchains   条件判断   开发   不同   代号   好处   

原文地址:https://www.cnblogs.com/elnino/p/11679014.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!