iptable规则的执行顺序

Posted 2020-11-16 elnino

众所周知，iptable的中包含了各种各样的table和规则链条。这篇博文对规则链的执行顺序做一个简单的介绍。

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
DNAT       tcp  --  anywhere             anywhere             tcp dpt:5000 to:172.30.57.2:5000

 

正常来说，iptable会对一条报文逐条匹配某个表中的规则，如果匹配成功，那么就执行这条规则对应的TARGET。例如上面这条规则的作用是，如果报文满足以下条件:

• tcp协议
• 源地址为任何地址
• 目的地址为任何地址
• 发送到本地5000端口的(dpt:5000)

那么就做Destination NAT，NAT至172.30.57.2:5000。如果报文匹配了该条规则，那么它会跳出OUTPUT，转而执行下一个对应的规则链。

这个例子说明了当TARGET为DNAT时的情况。但是我们知道iptable中的TARGET有很多种，DNAT只是其中之一。不同的TARGET有不同的跳转规则，有的TARGET在执行完成后就跳出当前的规则链跳往下一个规则链(例如在PREROUTING时从mangel表的PREROUTING链跳往nat表的POSTROUTING链). 而有的TARGET 在执行完成后会接着执行当前规则链中的下一个规则。

从网上抄了一个2007年的博文:

-------------------------------------------------------------------------

iptables 是采用规则堆栈的方式来进行过滤，当一个封包进入网卡，会先检查 Prerouting，然后检查目的 IP 判断是否需要转送出去，接着就会跳到 INPUT 或 Forward 进行过滤，如果封包需转送处理则检查 Postrouting，如果是来自本机封包，则检查 OUTPUT 以及 Postrouting。过程中如果符合某条规则将会进行处理，处理动作除了 ACCEPT、REJECT、DROP、REDIRECT 和 MASQUERADE 以外，还多出 LOG、ULOG、DNAT、SNAT、MIRROR、QUEUE、RETURN、TOS、TTL、MARK 等，其中某些处理动作不会中断过滤程序，某些处理动作则会中断同一规则炼的过滤，并依照前述流程继续进行下一个规则炼的过滤（注意：这一点与 ipchains 不同），一直到堆栈中的规则检查完毕为止。透过这种机制所带来的好处是，我们可以进行复杂、多重的封包过滤，简单的说，iptables 可以进行纵横交错式的过滤（tables）而非炼状过滤（chains）。

• 　ACCEPT 将封包放行，进行完此处理动作后，将不再比对其它规则，直接跳往下一个规则炼（nat:postrouting）。
• 　REJECT 拦阻该封包，并传送封包通知对方，可以传送的封包有几个选择：ICMP port-unreachable、ICMP echo-reply 或是 tcp-reset（这个封包会要求对方关闭联机），进行完此处理动作后，将不再比对其它规则，直接 中断过滤程序。 范例如下：iptables -A FORWARD -p TCP --dport 22 -j REJECT --reject-with tcp-reset
• 　DROP 丢弃封包不予处理，进行完此处理动作后，将不再比对其它规则，直接中断过滤程序。
• 　REDIRECT 将封包重新导向到另一个端口（PNAT），进行完此处理动作后，将 会继续比对其它规则。 这个功能可以用来实作通透式 porxy 或用来保护 web 服务器。例如：iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 8080
• 　MASQUERADE 改写封包来源 IP 为防火墙 NIC IP，可以指定 port 对应的范围，进行完此处理动作后，直接跳往下一个规则炼（mangle:postrouting）。这个功能与 SNAT 略有不同，当进行 IP 伪装时，不需指定要伪装成哪个 IP，IP 会从网卡直接读取，当使用拨接连线时，IP 通常是由 ISP 公司的 DHCP 服务器指派的，这个时候 MASQUERADE 特别有用。范例如下：　
  　iptables -t nat -A POSTROUTING -p TCP -j MASQUERADE --to-ports 1024-31000
• LOG 将封包相关讯息纪录在 /var/log 中，详细位置请查阅 /etc/syslog.conf 组态档，进行完此处理动作后，将会继续比对其它规则。例如：
  　　iptables -A INPUT -p tcp -j LOG --log-prefix "INPUT packets"
• SNAT 改写封包来源 IP 为某特定 IP 或 IP 范围，可以指定 port 对应的范围，进行完此处理动作后，将直接跳往下一个规则炼（mangle:postrouting）。范例如下：
  　　iptables -t nat -A POSTROUTING -p tcp-o eth0 -j SNAT --to-source 194.236.50.155-194.236.50.160:1024-32000
• DNAT 改写封包目的地 IP 为某特定 IP 或 IP 范围，可以指定 port 对应的范围，进行完此处理动作后，将会直接跳往下一个规则炼（filter:input 或 filter:forward）。范例如下：
  　　iptables -t nat -A PREROUTING -p tcp -d 15.45.23.67 --dport 80 -j DNAT --to-destination 192.168.1.1-192.168.1.10:80-100
• MIRROR 镜射封包，也就是将来源 IP 与目的地 IP 对调后，将封包送回，进行完此处理动作后，将会中断过滤程序。
• QUEUE 中断过滤程序，将封包放入队列，交给其它程序处理。透过自行开发的处理程序，可以进行其它应用，例如：计算联机费用.......等。
• RETURN 结束在目前规则炼中的过滤程序，返回主规则炼继续过滤，如果把自订规则炼看成是一个子程序，那么这个动作，就相当于提早结束子程序并返回到主程序中。
• MARK 将封包标上某个代号，以便提供作为后续过滤的条件判断依据，进行完此处理动作后，将会继续比对其它规则。范例如下：iptables -t mangle -A PREROUTING -p tcp --dport 22 -j MARK --set-mark 2

------------------------------------------------------------------------------------

ref: http://bbs.chinaunix.net/thread-936284-1-1.html

还有一种情况这个帖子中没有给出，那就是自定义的规则链。例如：

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination         
KUBE-POSTROUTING  all  --  anywhere             anywhere             /* kubernetes postrouting rules */
RETURN     all  --  192.168.122.0/24     224.0.0.0/24        
RETURN     all  --  192.168.122.0/24     255.255.255.255     
MASQUERADE  tcp  --  192.168.122.0/24    !192.168.122.0/24     masq ports: 1024-65535
MASQUERADE  udp  --  192.168.122.0/24    !192.168.122.0/24     masq ports: 1024-65535
MASQUERADE  all  --  192.168.122.0/24    !192.168.122.0/24    
RETURN     all  --  172.30.0.0/16        172.30.0.0/16       
MASQUERADE  all  --  172.30.0.0/16       !224.0.0.0/4         
RETURN     all  -- !172.30.0.0/16        172.30.57.0/24      
MASQUERADE  all  -- !172.30.0.0/16        172.30.0.0/16       
MASQUERADE  tcp  --  172.30.57.2          172.30.57.2          tcp dpt:5000

Chain KUBE-POSTROUTING (1 references)
target     prot opt source               destination         
MASQUERADE  all  --  anywhere             anywhere             /* kubernetes service traffic requiring SNAT */ mark match 0x4000/0x4000

在这个例子中，有两个规则链，分别是iptable默认的POSTROUTTING链，还有一个是kube-proxy定义的KUBE-POSTROUTTING。当报文走到POSTROUTTING是，会匹配第一条。很显然，这条规则会匹配所有的报文。

然后跳转到KUBE-POSTROUTTING规则链，这个规则链只有一条规则，它的意思是如果报文带有0x4000的标记，那么就执行target，也就是MASQUERADE。如果报文不携带0x4000标记，那么该报文就不会匹配这条规则，然后返回，接着匹配

POSTROUTTING中的下一条报文。