iptable规则的执行顺序
众所周知,iptable的中包含了各种各样的table和规则链条。这篇博文对规则链的执行顺序做一个简单的介绍。
Chain OUTPUT (policy ACCEPT)
target prot opt source destination DNAT tcp -- anywhere anywhere tcp dpt:5000 to:172.30.57.2:5000
正常来说,iptable会对一条报文逐条匹配某个表中的规则,如果匹配成功,那么就执行这条规则对应的TARGET。例如上面这条规则的作用是,如果报文满足以下条件:
- tcp协议
- 源地址为任何地址
- 目的地址为任何地址
- 发送到本地5000端口的(dpt:5000)
那么就做Destination NAT,NAT至172.30.57.2:5000。如果报文匹配了该条规则,那么它会跳出OUTPUT,转而执行下一个对应的规则链。
这个例子说明了当TARGET为DNAT时的情况。但是我们知道iptable中的TARGET有很多种,DNAT只是其中之一。不同的TARGET有不同的跳转规则,有的TARGET在执行完成后就跳出当前的规则链跳往下一个规则链(例如在PREROUTING时从mangel表的PREROUTING链跳往nat表的POSTROUTING链). 而有的TARGET 在执行完成后会接着执行当前规则链中的下一个规则。
从网上抄了一个2007年的博文:
-------------------------------------------------------------------------
iptables 是采用规则堆栈的方式来进行过滤,当一个封包进入网卡,会先检查 Prerouting,然后检查目的 IP 判断是否需要转送出去,接着就会跳到 INPUT 或 Forward 进行过滤,如果封包需转送处理则检查 Postrouting,如果是来自本机封包,则检查 OUTPUT 以及 Postrouting。过程中如果符合某条规则将会进行处理,处理动作除了 ACCEPT、REJECT、DROP、REDIRECT 和 MASQUERADE 以外,还多出 LOG、ULOG、DNAT、SNAT、MIRROR、QUEUE、RETURN、TOS、TTL、MARK 等,其中某些处理动作不会中断过滤程序,某些处理动作则会中断同一规则炼的过滤,并依照前述流程继续进行下一个规则炼的过滤(注意:这一点与 ipchains 不同),一直到堆栈中的规则检查完毕为止。透过这种机制所带来的好处是,我们可以进行复杂、多重的封包过滤,简单的说,iptables 可以进行纵横交错式的过滤(tables)而非炼状过滤(chains)。
- ACCEPT 将封包放行,进行完此处理动作后,将不再比对其它规则,直接跳往下一个规则炼(nat:postrouting)。
- REJECT 拦阻该封包,并传送封包通知对方,可以传送的封包有几个选择:ICMP port-unreachable、ICMP echo-reply 或是 tcp-reset(这个封包会要求对方关闭联机),进行完此处理动作后,将不再比对其它规则,直接 中断过滤程序。 范例如下:iptables -A FORWARD -p TCP --dport 22 -j REJECT --reject-with tcp-reset
- DROP 丢弃封包不予处理,进行完此处理动作后,将不再比对其它规则,直接中断过滤程序。
- REDIRECT 将封包重新导向到另一个端口(PNAT),进行完此处理动作后,将 会继续比对其它规则。 这个功能可以用来实作通透式 porxy 或用来保护 web 服务器。例如:iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 8080
- MASQUERADE 改写封包来源 IP 为防火墙 NIC IP,可以指定 port
对应的范围,进行完此处理动作后,直接跳往下一个规则炼(mangle:postrouting)。这个功能与 SNAT 略有不同,当进行 IP
伪装时,不需指定要伪装成哪个 IP,IP 会从网卡直接读取,当使用拨接连线时,IP 通常是由 ISP 公司的 DHCP 服务器指派的,这个时候
MASQUERADE 特别有用。范例如下:
iptables -t nat -A POSTROUTING -p TCP -j MASQUERADE --to-ports 1024-31000 - LOG 将封包相关讯息纪录在 /var/log 中,详细位置请查阅 /etc/syslog.conf 组态档,进行完此处理动作后,将会继续比对其它规则。例如:
iptables -A INPUT -p tcp -j LOG --log-prefix "INPUT packets" - SNAT 改写封包来源 IP 为某特定 IP 或 IP 范围,可以指定 port 对应的范围,进行完此处理动作后,将直接跳往下一个规则炼(mangle:postrouting)。范例如下:
iptables -t nat -A POSTROUTING -p tcp-o eth0 -j SNAT --to-source 194.236.50.155-194.236.50.160:1024-32000 - DNAT 改写封包目的地 IP 为某特定 IP 或 IP 范围,可以指定 port 对应的范围,进行完此处理动作后,将会直接跳往下一个规则炼(filter:input 或 filter:forward)。范例如下:
iptables -t nat -A PREROUTING -p tcp -d 15.45.23.67 --dport 80 -j DNAT --to-destination 192.168.1.1-192.168.1.10:80-100 - MIRROR 镜射封包,也就是将来源 IP 与目的地 IP 对调后,将封包送回,进行完此处理动作后,将会中断过滤程序。
- QUEUE 中断过滤程序,将封包放入队列,交给其它程序处理。透过自行开发的处理程序,可以进行其它应用,例如:计算联机费用.......等。
- RETURN 结束在目前规则炼中的过滤程序,返回主规则炼继续过滤,如果把自订规则炼看成是一个子程序,那么这个动作,就相当于提早结束子程序并返回到主程序中。
- MARK 将封包标上某个代号,以便提供作为后续过滤的条件判断依据,进行完此处理动作后,将会继续比对其它规则。范例如下:iptables -t mangle -A PREROUTING -p tcp --dport 22 -j MARK --set-mark 2
------------------------------------------------------------------------------------
ref: http://bbs.chinaunix.net/thread-936284-1-1.html
还有一种情况这个帖子中没有给出,那就是自定义的规则链。例如:
Chain POSTROUTING (policy ACCEPT) target prot opt source destination KUBE-POSTROUTING all -- anywhere anywhere /* kubernetes postrouting rules */ RETURN all -- 192.168.122.0/24 224.0.0.0/24 RETURN all -- 192.168.122.0/24 255.255.255.255 MASQUERADE tcp -- 192.168.122.0/24 !192.168.122.0/24 masq ports: 1024-65535 MASQUERADE udp -- 192.168.122.0/24 !192.168.122.0/24 masq ports: 1024-65535 MASQUERADE all -- 192.168.122.0/24 !192.168.122.0/24 RETURN all -- 172.30.0.0/16 172.30.0.0/16 MASQUERADE all -- 172.30.0.0/16 !224.0.0.0/4 RETURN all -- !172.30.0.0/16 172.30.57.0/24 MASQUERADE all -- !172.30.0.0/16 172.30.0.0/16 MASQUERADE tcp -- 172.30.57.2 172.30.57.2 tcp dpt:5000 Chain KUBE-POSTROUTING (1 references) target prot opt source destination MASQUERADE all -- anywhere anywhere /* kubernetes service traffic requiring SNAT */ mark match 0x4000/0x4000
在这个例子中,有两个规则链,分别是iptable默认的POSTROUTTING链,还有一个是kube-proxy定义的KUBE-POSTROUTTING。当报文走到POSTROUTTING是,会匹配第一条。很显然,这条规则会匹配所有的报文。
然后跳转到KUBE-POSTROUTTING规则链,这个规则链只有一条规则,它的意思是如果报文带有0x4000的标记,那么就执行target,也就是MASQUERADE。如果报文不携带0x4000标记,那么该报文就不会匹配这条规则,然后返回,接着匹配
POSTROUTTING中的下一条报文。