深入理解 iptables 规则链：原理与实践

XR2025-06-132026-02-03

深入理解 iptables 规则链：原理与实践

1. iptables 简介

iptables 是 Linux 系统中最常用的防火墙工具，它提供了强大的包过滤和 NAT 功能。通过 iptables，我们可以实现网络访问控制、端口转发、负载均衡等功能。

2. 使用场景

2.1 常见应用场景

服务器安全防护
网络访问控制
端口转发
NAT 转换
流量监控
DDoS 防护

3. 规则链（Chains）详解

3.1 内置链

iptables 包含五个内置链：

INPUT: 处理进入本机的数据包
OUTPUT: 处理从本机发出的数据包
FORWARD: 处理经过本机转发的数据包
PREROUTING: 数据包进入路由表之前
POSTROUTING: 数据包离开路由表之后

3.2 处理流程图

  graph TD
    A[数据包进入] --> B{目标地址?}
    B -->|本机| C[INPUT链]
    B -->|其他主机| D[FORWARD链]
    C --> E[本机处理]
    D --> F[POSTROUTING链]
    E --> G[OUTPUT链]
    G --> F
    F --> H[发送数据包]

4. 技术原理

4.1 工作原理

iptables 基于 Netfilter 框架，通过钩子（hooks）机制在数据包处理的关键位置插入处理函数。每个链都包含一系列规则，数据包会按顺序匹配这些规则。

4.2 规则匹配过程

  graph LR
    A[数据包] --> B[规则1]
    B -->|匹配| C[执行动作]
    B -->|不匹配| D[规则2]
    D -->|匹配| C
    D -->|不匹配| E[规则3]
    E -->|匹配| C
    E -->|不匹配| F[默认策略]

5. 路由表详解

5.1 路由表基本概念

路由表是 Linux 系统中用于决定数据包转发路径的核心组件。它包含了网络路由信息，告诉系统如何将数据包发送到目标地址。

5.2 路由表类型

Linux 系统中有多个路由表：

主路由表（Table 254）
- 系统默认路由表
- 包含所有网络接口的路由信息
本地路由表（Table 255）
- 包含本地网络接口的路由
- 用于本地通信
自定义路由表
- 用户可以根据需要创建
- 用于实现策略路由

5.3 路由表与 iptables 的关系

  graph TD
    A[数据包] --> B[PREROUTING链]
    B --> C[路由决策]
    C --> D{目标地址?}
    D -->|本机| E[INPUT链]
    D -->|其他主机| F[FORWARD链]
    E --> G[本地进程]
    F --> H[POSTROUTING链]
    H --> I[发送数据包]

5.4 路由表操作命令

# 查看路由表
ip route show

# 添加路由
ip route add 192.168.1.0/24 via 192.168.0.1

# 删除路由
ip route del 192.168.1.0/24

# 查看特定路由表
ip route show table 254

5.5 路由表字段说明

目标网络（Destination）
- 数据包要到达的网络地址
- 可以是具体 IP 或网段
网关（Gateway）
- 下一跳路由器的 IP 地址
- 直接连接时显示 “dev” 接口
网络接口（Interface）
- 数据包发送的网络接口
- 如 eth0、wlan0 等
度量值（Metric）
- 路由的优先级
- 数值越小优先级越高

5.6 路由表与 iptables 的交互

PREROUTING 链
- 在路由决策之前处理数据包
- 可以修改目标地址（DNAT）
POSTROUTING 链
- 在路由决策之后处理数据包
- 可以修改源地址（SNAT）
FORWARD 链
- 处理需要转发的数据包
- 在路由决策之后执行

5.7 实际应用示例

多网卡环境

# 添加默认路由
ip route add default via 192.168.1.1 dev eth0

# 添加特定网段路由
ip route add 10.0.0.0/8 via 192.168.2.1 dev eth1

策略路由

# 创建自定义路由表
echo "100 custom" >> /etc/iproute2/rt_tables

# 添加策略路由规则
ip rule add from 192.168.1.0/24 table custom

6. 使用方法

6.1 基本命令

# 查看规则
iptables -L

# 添加规则
iptables -A INPUT -p tcp --dport 80 -j ACCEPT

# 删除规则
iptables -D INPUT -p tcp --dport 80 -j ACCEPT

# 保存规则
iptables-save > /etc/iptables/rules.v4

6.2 常用参数

-A: 添加规则
-D: 删除规则
-L: 列出规则
-F: 清空规则
-p: 指定协议
-s: 源地址
-d: 目标地址
--dport: 目标端口
-j: 指定动作

7. Kubernetes 中的 iptables 应用

7.1 kube-proxy 与 iptables

在 Kubernetes 中，kube-proxy 组件使用 iptables 实现以下核心功能：

Service 负载均衡
- 通过 iptables 规则将 Service 的流量转发到后端 Pod
- 实现简单的轮询负载均衡
Service 类型支持
- ClusterIP：内部访问
- NodePort：节点端口映射
- LoadBalancer：外部负载均衡器集成

7.2 实现原理

  graph TD
    A[外部请求] --> B[NodePort]
    B --> C[iptables PREROUTING]
    C --> D[Service IP]
    D --> E[iptables FORWARD]
    E --> F[Pod IP]
    F --> G[容器]

7.3 关键 iptables 链

Kubernetes 主要使用以下 iptables 链：

KUBE-SERVICES: 处理所有 Service 的入口流量
KUBE-NODEPORTS: 处理 NodePort 类型的 Service
KUBE-POSTROUTING: 处理 SNAT（源地址转换）
KUBE-MARK-MASQ: 标记需要做 SNAT 的数据包

7.4 实际效果

服务发现
- 通过 iptables 规则实现 Service 到 Pod 的映射
- 支持 Pod 的动态扩缩容
负载均衡
- 基于 iptables 的简单轮询
- 支持会话亲和性（Session Affinity）
网络策略
- 实现 Pod 间的访问控制
- 支持网络隔离

7.5 性能考虑

规则数量
- 每个 Service 和 Pod 都会产生多条 iptables 规则
- 大规模集群可能导致规则数量激增
优化方案
- 使用 ipset 优化大量 IP 地址的匹配
- 考虑使用 IPVS 模式替代 iptables 模式

8. 类似技术扩展

8.1 相关技术

nftables
- iptables 的继任者
- 更简洁的语法
- 更好的性能
eBPF
- 更灵活的数据包处理
- 可编程性更强
- 性能更好
ipset
- 高效的 IP 地址集合管理
- 与 iptables 配合使用
- 提升规则匹配效率

8.2 技术对比

  graph TD
    A[防火墙技术] --> B[iptables]
    A --> C[nftables]
    A --> D[eBPF]
    B --> E[成熟稳定]
    B --> F[使用广泛]
    C --> G[语法简洁]
    C --> H[性能优化]
    D --> I[高度可编程]
    D --> J[性能最佳]