标签：iptables 优先级 IP 表中 nf NF nat 规则 netfilter

在内核的net中，iptable_nat.c iptable_filter.c iptable_mangle.c中，分别建立了3张表，供iptables规则使用。

其中filter、mangle表的建立，有自己的优选级

调用 ipt_register_table函数进行注册表； 调用xt_hook_link注册到时hook，此表可以挂到5个点，那就会注册到5个hook点，优先级都是一样的，如上图。

那么nat表呢？

它也这个结构体，但在初始化时，仅调用了ipt_register_table注册了表，那么通过iptables打入的nat规则如何生效呢？

它额外注册了几个hook点函数，如下：

以NF_INET_PRE_ROUTING为例，nf_nat_ipv4_in-》nf_nat_ipv4_fn-》如果ct状态为IP_CT_NEW -》nf_nat_rule_find-》ipt_do_table执行iptables nat表中的NF_INET_PRE_ROUTING点上规则。

对于NF_INET_POST_ROUTING也是一样，nf_nat_ipv4_out-》nf_nat_ipv4_fn-》如果ct状态为IP_CT_NEW -》nf_nat_rule_find-》ipt_do_table。

也就是说对于nat表中动作，仅会在ct为IP_CT_NEW时，执行一次，如果ct的状态其它，则不会再执行。

返回来的规则在conntrack中进行会进行处理（nf_conntrack_l3proto_ipv4.c）。

也就是说，对于iptables规则，filter和magle表中的规则对每个数据包都会进行；而nat表中规则，只会对数据报文做一次，后续的就交给ct来做了。

根据优先级，如下

则执行顺序为

新的报文-》ip_recv-》PREROUTING HOOK点

-》优先级NF_IP_PRI_CONNTRACK

-》优先级NF_IP_PRI_MANGLE -》所有的magle表中规则都会顺序执行

-》优先级NF_IP_PRI_FILTER-》所有filter表中规则都会顺序执行

-》优先级NF_IP_PRI_NAT_DST->nf_nat_ipv4_in-》nf_nat_ipv4_fn-》执行iptables nat表中的NF_INET_PRE_ROUTING点上规则。

所有的钩子函数执行完后

ct中已存在链接的报文-》ip_recv-》PREROUTING HOOK点

-》优先级NF_IP_PRI_CONNTRACK，更新连接跟踪

-》优先级NF_IP_PRI_MANGLE -》所有的magle表中规则都会顺序执行

-》优先级NF_IP_PRI_FILTER-》所有filter表中规则都会顺序执行

-》优先级NF_IP_PRI_NAT_DST->nf_nat_ipv4_in-》nf_nat_ipv4_fn-》nf_nat_packet，完成nat转换（不再执行相应规则）

所有的钩子函数执行完后

标签：iptables,优先级,IP,表中,nf,NF,nat,规则,netfilter
来源： https://blog.51cto.com/u_7777817/2716050

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。