iptable规则的执行顺序

Posted elnino

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了iptable规则的执行顺序相关的知识,希望对你有一定的参考价值。

众所周知,iptable的中包含了各种各样的table和规则链条。这篇博文对规则链的执行顺序做一个简单的介绍。

Chain OUTPUT (policy ACCEPT)
target prot opt source destination DNAT tcp
-- anywhere anywhere tcp dpt:5000 to:172.30.57.2:5000

 

正常来说,iptable会对一条报文逐条匹配某个表中的规则,如果匹配成功,那么就执行这条规则对应的TARGET。例如上面这条规则的作用是,如果报文满足以下条件:

  • tcp协议
  • 源地址为任何地址
  • 目的地址为任何地址
  • 发送到本地5000端口的(dpt:5000)

那么就做Destination NAT,NAT至172.30.57.2:5000。如果报文匹配了该条规则,那么它会跳出OUTPUT,转而执行下一个对应的规则链。

这个例子说明了当TARGET为DNAT时的情况。但是我们知道iptable中的TARGET有很多种,DNAT只是其中之一。不同的TARGET有不同的跳转规则,有的TARGET在执行完成后就跳出当前的规则链跳往下一个规则链(例如在PREROUTING时从mangel表的PREROUTING链跳往nat表的POSTROUTING链). 而有的TARGET 在执行完成后会接着执行当前规则链中的下一个规则。

从网上抄了一个2007年的博文:

-------------------------------------------------------------------------

iptables 是采用规则堆栈的方式来进行过滤,当一个封包进入网卡,会先检查 Prerouting,然后检查目的 IP 判断是否需要转送出去,接着就会跳到 INPUT 或 Forward 进行过滤,如果封包需转送处理则检查 Postrouting,如果是来自本机封包,则检查 OUTPUT 以及 Postrouting。过程中如果符合某条规则将会进行处理,处理动作除了 ACCEPT、REJECT、DROP、REDIRECT 和 MASQUERADE 以外,还多出 LOG、ULOG、DNAT、SNAT、MIRROR、QUEUE、RETURN、TOS、TTL、MARK 等,其中某些处理动作不会中断过滤程序,某些处理动作则会中断同一规则炼的过滤,并依照前述流程继续进行下一个规则炼的过滤(注意:这一点与 ipchains 不同),一直到堆栈中的规则检查完毕为止。透过这种机制所带来的好处是,我们可以进行复杂、多重的封包过滤,简单的说,iptables 可以进行纵横交错式的过滤(tables)而非炼状过滤(chains)。

    •  ACCEPT 将封包放行,进行完此处理动作后,将不再比对其它规则,直接跳往下一个规则炼(nat:postrouting)。
    •  REJECT 拦阻该封包,并传送封包通知对方,可以传送的封包有几个选择:ICMP port-unreachable、ICMP echo-reply 或是 tcp-reset(这个封包会要求对方关闭联机),进行完此处理动作后,将不再比对其它规则,直接 中断过滤程序。 范例如下:iptables -A FORWARD -p TCP --dport 22 -j REJECT --reject-with tcp-reset
    •  DROP 丢弃封包不予处理,进行完此处理动作后,将不再比对其它规则,直接中断过滤程序。
    •  REDIRECT 将封包重新导向到另一个端口(PNAT),进行完此处理动作后,将 会继续比对其它规则。 这个功能可以用来实作通透式 porxy 或用来保护 web 服务器。例如:iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 8080
    •  MASQUERADE 改写封包来源 IP 为防火墙 NIC IP,可以指定 port 对应的范围,进行完此处理动作后,直接跳往下一个规则炼(mangle:postrouting)。这个功能与 SNAT 略有不同,当进行 IP 伪装时,不需指定要伪装成哪个 IP,IP 会从网卡直接读取,当使用拨接连线时,IP 通常是由 ISP 公司的 DHCP 服务器指派的,这个时候 MASQUERADE 特别有用。范例如下: 
       iptables -t nat -A POSTROUTING -p TCP -j MASQUERADE --to-ports 1024-31000
    • LOG 将封包相关讯息纪录在 /var/log 中,详细位置请查阅 /etc/syslog.conf 组态档,进行完此处理动作后,将会继续比对其它规则。例如:
        iptables -A INPUT -p tcp -j LOG --log-prefix "INPUT packets"
    • SNAT 改写封包来源 IP 为某特定 IP 或 IP 范围,可以指定 port 对应的范围,进行完此处理动作后,将直接跳往下一个规则炼(mangle:postrouting)。范例如下:
        iptables -t nat -A POSTROUTING -p tcp-o eth0 -j SNAT --to-source 194.236.50.155-194.236.50.160:1024-32000
    • DNAT 改写封包目的地 IP 为某特定 IP 或 IP 范围,可以指定 port 对应的范围,进行完此处理动作后,将会直接跳往下一个规则炼(filter:input 或 filter:forward)。范例如下:
        iptables -t nat -A PREROUTING -p tcp -d 15.45.23.67 --dport 80 -j DNAT --to-destination 192.168.1.1-192.168.1.10:80-100
    • MIRROR 镜射封包,也就是将来源 IP 与目的地 IP 对调后,将封包送回,进行完此处理动作后,将会中断过滤程序。
    • QUEUE 中断过滤程序,将封包放入队列,交给其它程序处理。透过自行开发的处理程序,可以进行其它应用,例如:计算联机费用.......等。
    • RETURN 结束在目前规则炼中的过滤程序,返回主规则炼继续过滤,如果把自订规则炼看成是一个子程序,那么这个动作,就相当于提早结束子程序并返回到主程序中。
    • MARK 将封包标上某个代号,以便提供作为后续过滤的条件判断依据,进行完此处理动作后,将会继续比对其它规则。范例如下:iptables -t mangle -A PREROUTING -p tcp --dport 22 -j MARK --set-mark 2

------------------------------------------------------------------------------------

ref: http://bbs.chinaunix.net/thread-936284-1-1.html

还有一种情况这个帖子中没有给出,那就是自定义的规则链。例如:

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination         
KUBE-POSTROUTING  all  --  anywhere             anywhere             /* kubernetes postrouting rules */
RETURN     all  --  192.168.122.0/24     224.0.0.0/24        
RETURN     all  --  192.168.122.0/24     255.255.255.255     
MASQUERADE  tcp  --  192.168.122.0/24    !192.168.122.0/24     masq ports: 1024-65535
MASQUERADE  udp  --  192.168.122.0/24    !192.168.122.0/24     masq ports: 1024-65535
MASQUERADE  all  --  192.168.122.0/24    !192.168.122.0/24    
RETURN     all  --  172.30.0.0/16        172.30.0.0/16       
MASQUERADE  all  --  172.30.0.0/16       !224.0.0.0/4         
RETURN     all  -- !172.30.0.0/16        172.30.57.0/24      
MASQUERADE  all  -- !172.30.0.0/16        172.30.0.0/16       
MASQUERADE  tcp  --  172.30.57.2          172.30.57.2          tcp dpt:5000

Chain KUBE-POSTROUTING (1 references)
target     prot opt source               destination         
MASQUERADE  all  --  anywhere             anywhere             /* kubernetes service traffic requiring SNAT */ mark match 0x4000/0x4000

在这个例子中,有两个规则链,分别是iptable默认的POSTROUTTING链,还有一个是kube-proxy定义的KUBE-POSTROUTTING。当报文走到POSTROUTTING是,会匹配第一条。很显然,这条规则会匹配所有的报文。

然后跳转到KUBE-POSTROUTTING规则链,这个规则链只有一条规则,它的意思是如果报文带有0x4000的标记,那么就执行target,也就是MASQUERADE。如果报文不携带0x4000标记,那么该报文就不会匹配这条规则,然后返回,接着匹配

POSTROUTTING中的下一条报文。

以上是关于iptable规则的执行顺序的主要内容,如果未能解决你的问题,请参考以下文章

iptables使用实践

iptables的原理和基本用法

linux系统中iptables防火墙管理工具

iptables配置顺序-两条规则会忽略后边的

iptables防火墙

第10篇 firewalld基于后端iptables的运行原理