Điều gì xảy ra khi không có chuỗi tùy chỉnh để nhảy vào một bảng trong iptables?

Tony Han

08:15, 07/05/2023

Tôi đang tìm hiểu cách iptables hoạt động trong Kubernetes cho các gói từ nhóm đến dịch vụ. Đối với hướng ra ngoài, trước tiên, nó đi qua chuỗi OUTPUT (sau đó là bộ lọc trong trường hợp của tôi). một phần của iptables-save kết quả giống như:

# Được tạo bởi iptables-save v1.4.21 trên 
* tự nhiên
-A KUBE-DỊCH VỤ ...
# các quy tắc khác trong bảng nat

*lọc
:CHẤP NHẬN ĐẦU RA [9:1136]
:KUBE-FIREWALL - [0:0] # dường như không có lỗi nào
:KUBE-DỊCH VỤ - [0:0]

-A OUTPUT -m conntrack --ctstate NEW -m comment --comment "kubernetes service portals" -j KUBE-SERVICES
-A ĐẦU RA -j KUBE-TƯỜNG LỬA
-A KUBE-FIREWALL -m comment --comment "tường lửa kubernetes để loại bỏ các gói được đánh dấu" -m mark --mark 0x8000/0x8000 -j DROP
# không có chuỗi KUBE-SERVICES trong bảng bộ lọc

# không có quy tắc trong các bảng khác

Chúng ta có thể thấy từ -A OUTPUT -m conntrack , nó nhảy tới KUBE-DỊCH VỤ, nhưng tôi không thể tìm thấy một KUBE-DỊCH VỤ chuỗi trong lọc cái bàn. Điều gì xảy ra khi nó không tồn tại?

Có một KUBE-DỊCH VỤ chuỗi trong tự nhiên bảng, nhưng tôi đoán nó sẽ không đi đến tự nhiên bảng từ lọc cái bàn?

166

0 + 0

linux

iptables

kubernetes

Điểm:1

Server

Bob

09:09, 07/05/2023

Tôi nghĩ câu hỏi của bạn bắt nguồn từ thực tế là iptables-save đầu ra không bao gồm bộ đếm trong chuỗi tùy chỉnh.

Chỉ các chuỗi mặc định trong mỗi bảng (xem người đàn ông 8 iptables trong mỗi bảng) sẽ lưu bộ đếm gói/byte.

Tất cả các chuỗi khác trong luôn được lưu với [0:0] các giá trị.

Bạn có thể muốn thêm các iptables-lưu -c để bao gồm các bộ đếm lưu lượng/gói cho tất cả các quy tắc để xem các gói đi qua chuỗi và quy tắc của bạn như thế nào. Điều đó cũng sẽ đưa ra một dấu hiệu cho thấy số phận của họ được quyết định ở đâu.

Bởi vì AFAIK hành vi thông thường với một -j mục tiêu là khi các quy tắc trong chuỗi mục tiêu đã được xử lý và không dẫn đến kết quả khớp không xác định , thì quá trình xử lý sẽ quay trở lại chuỗi ban đầu và (các) quy tắc tiếp theo sẽ được xử lý. Vì vậy, tôi nghi ngờ rằng khi một mục tiêu tùy chỉnh trống, đó cũng là điều sẽ xảy ra, quá trình xử lý sẽ ngay lập tức tiếp tục với quy tắc tiếp theo trong chuỗi.

0 + 0

Điểm:0

Server

AlexD

09:09, 07/05/2023

:KUBE-DỊCH VỤ - [0:0] dòng xác định chuỗi KUBE-DỊCH VỤ bên trong lọc cái bàn. Nó không có quy tắc và trống nhưng nó vẫn được xác định.

0 + 0

Phan Văn Trường

Câu hỏi này là trong các ngôn ngữ khác:

EN: What happens when there's no custom chain to jump in a table in iptables?

TH: จะเกิดอะไรขึ้นเมื่อไม่มีเชนที่กำหนดเองเพื่อกระโดดในตารางใน iptables

RO: Ce se întâmplă când nu există un lanț personalizat pentru a sări într-un tabel în iptables?

RU: Что происходит, когда в iptables нет пользовательской цепочки для перехода к таблице?

VI: Điều gì xảy ra khi không có chuỗi tùy chỉnh để nhảy vào một bảng trong iptables?

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.