Netfilter 与 iptables 工具

Netfilter 框架

Netfilter 是 Linux 内核中进行数据包过滤，连接跟踪（Connect Track），网络地址转换（NAT）等功能的主要实现框架；该框架在网络协议栈处理数据包的关键流程中定义了一系列钩子点（Hook 点），并在这些钩子点中注册一系列函数对数据包进行处理。这些注册在钩子点的函数即为设置在网络协议栈内的数据包通行策略，也就意味着，这些函数可以决定内核是接受还是丢弃某个数据包，换句话说，这些函数的处理结果决定了这些网络数据包的“命运”。

 iptables 工具

iptables 在用户态提供了表格和链的概念。包含的表格有 filter，nat，mangle 以及 raw。

iptables 中每个表格的作用不同，以我们比较常用的 filter 表为例，其主要起到数据包过滤和拦截作用，包含 INPUT，FORWARD 和 OUTPUT 三个链，根据链的名字我们可以知道，这三个链分别被放置到 Netfilter 三个不同的钩子节点中生效。INPUT 链是在NF_INET_LOCAL_IN节点，FORWARD 链是在NF_INET_FORWARD节点，OUTPUT 链则是在NF_INET_LOCAL_OUT节点。其他表格的链也类似。

以如下 iptables 指令为例：

iptables -t filter -A INPUT -s 172.16.0.0/16 -p udp --dport 53 -j DROP

该指令是在 filter 表的 INPUT 链中添加一条过滤规则，凡是收到源地址为 172.16.0.0/16，传输层协议为 UDP 并且目的端口为 53 的数据包（即 DNS 数据包），都将该数据包丢弃。在 Linux 内核中，这一个指令会在 Netfilter 网络层NF_INET_LOCAL_IN节点生成处理操作，凡是经过这个钩子节点的数据包，在前面规则都通过的情况下，都必须经过这一规则的检查，如果符合这条规则的匹配条件，则该数据包会被丢弃；如果不符合，则进行下一条规则的匹配。

在 Linux 内核内部，使用 iptables 工具下发的指令规则，会存储在内核中的 Xtables 模块中，这部分内容这里不再深入分析。