k8s使用的iptables，具体原理是什么？深入浅出

1. netfilter

指的是内核中的netfilter框架，这个框架在协议栈中增加了5个hook，并维护内核模块在这些hook的地方注册的callback函数。

1.1. iptables和netfilter的关系

iptables是用户空间的一个程序，通过一定机制和内核的netfilter打交道，负责往hook上配置callback函数。

2. netfilter的5个hook

在这里插入图片描述

2.1. 数据包常见的三种hook路径

● 本机收到的，目的IP是本机的package：NF_IP_PRE_ROUTING -> NF_IP_LOCAL_IN

● 本机收到的，目的IP不是本机的package：NF_IP_PRE_ROUTING -> NF_IP_FORWARD -> NF_IP_POST_ROUTING

● 本机发出去的package：NF_IP_LOCAL_OUT -> NF_IP_POST_ROUTING

3. hook回调函数：rule

向hook注册的回调函数就是rule，rule = match + target

示例：

#允许ftp服务的21端口 iptables -A INPUT -p tcp --dport 21 -j ACCEPT

3.1. match

● -p tcp：--protocol tcp协议

● --dport 21：--destination-port，目的port是21

3.2. target

● -j ACCEPT ：接收此package

常见的target有：

● DROP丢弃

● RETURN跳出当前chain

● ACCEPT通过

● QUEUE放入用户空间队列

● custom-chain：跳转到用户自定义的chain

4. table：对rule进行分类

rule具备不同的能力，根据rule的能力分为5类，如：

● FIlter表：rule用于过滤

● NAT表：rule用于地址转换

● Mangle表：rule用来修改IP数据包头，如修改TTL

● Raw表：rule给package打标记

● Security表：rule和SELinux有关

5. hook如何调rule：hook调chain，chain将rule组织成链

rule有很多很多，hook只有5个点位，hook如何调这么多的rule呢？

答：将rule组织成5条链，每条链对应一个hook

table-chain-rule关系：

在这里插入图片描述

在这里插入图片描述

6. 自定义chain

创建自定义chain时需要指定，在哪个table里创建，默认是在filter表。

在nat表里创建自定义chain

iptables -t nat -N CUSTOM_NAT

hook无法直接调用自定义chain，hook调用5大chain，5大chain里的rule通过jump到自定义的chain。

7. 总结

netfilter包的处理流程汇总如下：

● 包按netfilter框架分别经过5个hook点

● 每个hook点调用自己对应的官方chain

● 官方chain串联的rule按类别分散在5张表里

● 官方chain按照预先定义的表的顺序来执行rule

● 表里的rule可以jump到表里自定义的chain