netfilter/iptables 介绍
前言
Kubernetes 的 服务代理实现主要基于 Linux 数据包过滤框架 netfilter 及其相关组件。本文介绍 netfilter 框架及其相关软件 iptables,以更好地理解 Kubernetes Service 代理机制。
什么是 netfilter,iptables ?
Netfilter 框架
Netfilter 是 Linux 内核中进行数据包过滤、修改,连接跟踪,网络地址转换等功能的实现框架,项目地址在 https://netfilter.org 。Netfilter 框架由多个模块组成,包括 netfilter, ip_tables, connection tracking (ip_conntrack, nf_conntrack) 和 NAT。不同 Netfilter 组件相互关系如下图所示:
该框架工作在 TCP/IP 模型中的 L2 - L5 层:
netfilter 钩子
netfilter 是 Netfilter 框架在 Linux 内核网络协议栈中定义的一组钩子(hook)。在这些钩子上可以注册回调函数来对数据包进行处理。当数据包在网络协议栈传递过程中到达钩子点时,相应的回调函数就会被触发。一共有五种钩子:
- NF_IP_PRE_ROUTING:数据包进入网络协议栈时触发
- NF_IP_LOCAL_IN:数据包发往本地时触发
- NF_IP_FORWARD:数据包需要转发到其他主机时触发
- NF_IP_LOCAL_OUT:本地数据包进入网络协议栈时触发
- NF_IP_POST_ROUTING:数据包从网络协议栈转出时触发
图片来源:https://zhuanlan.zhihu.com/p/93630586
iptables
iptables 是运行在用户空间的应用,是 Liunx 提供给用户层的命令接口。用户可以通过 iptables 添加数据包处理规则,配置防火墙,从而实现数据包的修改和过滤功能。所以 iptables 只是一个工具,真正实现功能的是 Netfilter 内核模块。除了 iptables,还有 arptables,ebtables 等工具。在大部分 Linux 发行版中,可以通过 man iptables
获取用户手册。iptables 使用的数据结构包含:表(table)、链(chain)和 规则(rule)三个层面。
表
iptables 使用表来组织规则。比如,如果有一个规则是处理网络地址转换,则这个规则应放置在 nat 表中。总共有五种类型的表,每种表对应不同类型的数据包处理流程:
- filter 表:用于过滤数据包,是默认的表
- nat 表:用于地址转换操作
- mangle 表:用于 IP 头部信息修改
- raw 表:用于连接追踪
- security 表:用于设置 SELinux 安全上下文标签
链
在 iptables 表中,规则又进一步被组织到不同的链中。链的主要用途是决定规则何时被处理。一旦链被触发,链中的规则会被逐一进行匹配,如果匹配,则执行相应的动作,如修改数据包,或者跳转。跳转可以直接接受该数据包或拒绝该数据包,也可以跳转到其他链继续进行匹配,或者从当前链返回调用者链。一个表可以有多种不同的链组成,可以是内置的链,也可以是用户定义的链。内置链有:
- PREROUTING:由 NF_IP_PRE_ROUTING 钩子触发
- INPUT:由 NF_IP_LOCAL_IN 钩子触发
- FORWARD:由 NF_IP_FORWARD 钩子触发
- OUTPUT:由 NF_IP_LOCAL_OUT 钩子触发
- POSTROUTING:由 NF_IP_POST_ROUTING 钩子触发
而用户定义的链必须通过其他链中的规则跳转进来。
规则
当链被调用,数据包会被链中每个规则检查。每个规则包含两部分匹配(match)和动作(target)。数据包与规则相匹配,就会执行对应的动作。
延伸阅读
[1] Linux: What's Netfilter, iptables, Their Differences?
[2] A Deep Dive into Iptables and Netfilter Architecture
[3] Linux 网络层收发包流程及 Netfilter 框架浅析