Netfilter和Netgraph

本文翻译自 2015 年的一篇英文博客 A Deep Dive into Iptables and Netfilter Architecture 。这篇对 iptables 和 netfilter 的设计和原理介绍比较全面，美中不足的是没有那张 内核协议栈

FreeBSD的netgraph真是太帅了，它到底是个什么玩艺呢？netgraph系统挂接在内核协议栈的特定点上，哪些点呢？)，要么就是从某处出去，进入协议栈的别的地方。netgraph和标准协议栈的衔接如下图所示：既然知道了netgraph的位置，那么下

netfilter/iptables组成Linux平台下的包过滤防火墙，与大多数的Linux软件一样，这个包过滤防火墙是免费的，它可以代替昂贵的商业防火墙解决方案。netfilter：指的是Linux内核中实现包过滤防火墙的内部结构，属于“内核态”的防火墙

连接状态跟踪可以供其他模块使用,最常见的两个使用场景是 iptables 的 nat 的 state 模块。iptables 的 nat 通过规则来修改目的/源地址,但光修改地址不行,我们还需要能让回来的包能路由到最初的来源主机。这就需要借助 nf_con

1） 防火墙概念主要是用于企业中对传输的数据包进行拦截、过滤，满足条件即可做某些动作，禁止通行或者运行通行，分为如下两种防火墙类型： ?

Linux系统中防火墙功能的两大角色：iptables和netfilter。iptables是Linux系统下应用层内置控制防火墙的工具，netfilter则是防火墙功能的具体实现，是内核空间的功能模块。所谓的iptables“控制”防火墙，就是用户利用i

netfilter是在Linux 2.4.X内核引入的一个子系统，它提供了一个抽象的、通用框架，这个框架提供了一整套的钩子函数的管理机制。包括钩子函数的原型定义，注册，注销等。下面将基于Linux 3.14.77 的内核代码简要介绍一下netfilter框

netfilter组件也称为内核空间,是内核的一部分，由一些信息包和过滤表组成，这些表包含内核用来控制信息包过滤处理的规则集。iptables组件试试一种工具，也称为用户空间，它使插入、喜欢和除去信息包过滤表中的规则变得容易。___ iptables是基于

Linux系统中防火墙功能的两大角色：iptables和netfilter。iptables是Linux系统下应用层内置控制防火墙的工具，netfilter则是防火墙功能的具体实现，是内核空间的功能模块。所谓的iptables“控制”防火墙，就是用户利用i

Kubernetes对集群内部的网络进行了重新抽象，以实现整个集群网络扁平化。我们可以理解网络模型时，可以完全抽离物理节点去理解，我们用图说话，先有基本印象。Veth设备对的引入是为了实现在不同网络命名空间的通信。

防火墙指的是一个由 软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。SNAT主要用于隐藏内部网络结构，避免受到来自外部网络的非法访问和恶意攻击，有效缓解地址空间的短缺问题，而DNAT主要用于外网主机访问内网主机，以此

防火墙是设在不同网络或网络安全域之间的一系列部件的组合。它能增强机构内部网络的安全性，它通过访问控制机制，确定哪些内部服务允许外部访问，它可以根据网络传输类型决定ip包是否可以传进或传出内部网络。防火墙是工作在主机和网络的边缘。

Linux系统的防火墙体系基于内核共存：firewalld、iptables、ebtables，默认使用firewalld来管理netfilter子系统。netfilter：指的是Linux内核中实现包过滤防火墙的内部结构，不以程序或文件的形式存在，属于“

iptables可以很方便的构建系统防火墙，那它是如何实现的呢？Linux内核添加了netfilter机制，在IP协议栈上传递过程中，选择了5个检查点。利用5个检测点，查阅用户注册的回调处理函数，根据用户自定义回调函数监视进出的网络数据包。该示例简单拦截所

每一条iptables配置的规则都包含了匹配条件部分和动作。当报文途径HOOK点时，Netfilter会逐个遍历挂在该钩子点上的表的rule,若报文满足rule的匹配条件，内核就会执行动作。该结构由两部分组成，其中verdict是动作的编码, 取值有NF_

Linux kernel使用netfilter对进出的数据包进行过滤，netfilter由三个规则表组成，每个表又有许多内建的链组成。通过使用iptables命令可以对这些表链进行操作，如添加、删除和列出规则等。当使用-p tcp时，还可使用其他可以选项，

https://javapipe.com/blog/iptables-ddos-protection/ kernel.printk = 4 4 1 7 kernel.panic = 10 kernel.sysrq = 0 kernel.shmma

当出现SYN等待队列溢出时，启用cookies来处理，可防范少量SYN攻击，默认为0，表示关闭；表示开启TCP连接中TIME-WAIT sockets的快速回收，默认为0，表示关闭。表示如果套接字由本端要求关闭，这个参数决定了它保持在FIN-WAIT-2状

一 相关内容介绍 CentOS是Linux发行版之一，它是来自于Red Hat Enterprise Linux依照开放源代码规定释出的源代码所编译而成。由于出自同样的源代码，因此有些要求高度稳定性的服务器以CentOS替代商业版的Red Hat Ente

IPTABLES 是与最新的 3.5 版本 Linux 内核集成的 IP 信息包过滤系统。如果 Linux 系统连接到因特网或 LAN、服务器或连接 LAN 和因特网的代理服务器， 则该系统有利于在 Linux 系统上更好地控制 IP 信息包过滤和防火墙配