Что происходит, когда в iptables нет пользовательской цепочки для перехода к таблице?

Tony Han

07.05.2023, 08:15

Я изучаю, как iptables работает в Kubernetes для пакетов из модуля в службу. Для исходящего трафика он сначала проходит через цепочку OUTPUT (в моем случае nat, а затем filter). Часть iptables-сохранить результат такой:

# Сгенерировано iptables-save v1.4.21 на 
*натуральный
-А КУБЕ-УСЛУГИ...
# другие правила в таблице nat

*фильтр
: ВЫВОД ПРИНЯТ [9:1136]
:KUBE-FIREWALL - [0:0] # вроде сбоев нет
:КУБЭ-СЕРВИС - [0:0]

-A OUTPUT -m conntrack --ctstate NEW -m comment --comment "порталы сервисов kubernetes" -j КУБЕ-СЕРВИСЫ
-A ВЫХОД -j КУБ-БРАНДМАУЕР
-A KUBE-FIREWALL -m comment --comment "брандмауэр kubernetes для отбрасывания помеченных пакетов" -m mark --mark 0x8000/0x8000 -j DROP
# нет цепочки КУБЭ-СЕРВИС в таблице фильтров

# нет правил в других таблицах

Мы можем видеть из -A ВЫХОД -m conntrack , он переходит к КУБЕ-УСЛУГИ, но я не могу найти КУБЕ-УСЛУГИ цепь в фильтр Таблица. Что происходит, когда его не существует?

Это КУБЕ-УСЛУГИ цепь в нат стол, но я думаю, что он не пойдет на нат стол из фильтр Таблица?

166

0 + 0

линукс

iptables

кубернет

Рейтинг:1

Server

Bob

07.05.2023, 09:09

Я думаю, что ваш вопрос коренится в том, что iptables-сохранить вывод не включает счетчики в пользовательских цепочках.

Только цепочки по умолчанию в каждой таблице (см. человек 8 iptables для которых они есть в каждой таблице) будут сохранены счетчики пакетов/байтов.

Все остальные цепочки всегда сохраняются с [0:0] ценности.

Вы можете добавить iptables-сохранить -c флаг, чтобы включить счетчики пакетов/трафика для всех правил, чтобы видеть, как пакеты проходят через ваши цепочки и правила. Это также должно указывать на то, где решается их судьба.

Потому что AFAIK обычное поведение с -j цель состоит в том, что когда правила в целевой цепочке были обработаны и не привели к диспозитивному совпадению, обработка возвращается к исходной цепочке, и будут обработаны следующие правила. Поэтому я подозреваю, что когда пользовательская цель пуста, это тоже происходит, обработка немедленно продолжится со следующим правилом в цепочке.

0 + 0

Рейтинг:0

Server

AlexD

07.05.2023, 09:09

:КУБЭ-СЕРВИС - [0:0] линия определяет цепочку КУБЕ-УСЛУГИ в фильтр Таблица. Он не имеет правил и пуст, но все еще определен.

0 + 0

Admin

Этот вопрос на других языках:

EN: What happens when there's no custom chain to jump in a table in iptables?

TH: จะเกิดอะไรขึ้นเมื่อไม่มีเชนที่กำหนดเองเพื่อกระโดดในตารางใน iptables

RO: Ce se întâmplă când nu există un lanț personalizat pentru a sări într-un tabel în iptables?

RU: Что происходит, когда в iptables нет пользовательской цепочки для перехода к таблице?

VI: Điều gì xảy ra khi không có chuỗi tùy chỉnh để nhảy vào một bảng trong iptables?

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.