重拾 iptables

iptables 是一个常看常忘的命令，本文试图从应用的角度理解它

iptables 是运行在用户空间的应用软件，通过控制 Linux 内核 netfilter 模块，来管理网络数据包的处理和转发

一些常用的场景

1. 禁止 ip 访问后端 IP

在 192.168.64.6 上增加规则：

# -A INPUT: 将规则添加到 INPUT 链，表示处理进入的流量
# -s 192.168.64.7: 指定源 IP 地址，即要阻止的 IP
# -d 192.168.64.6: 指定目标 IP 地址，即后端 IP
# -j DROP: 表示丢弃匹配的流量
iptables -A INPUT -s 192.168.64.7 -d 192.168.64.6 -j DROP

# -j REJECT: 丢弃流量的同时向源 IP 返回一个拒绝消息。请求方直接提示：Connection refused
iptables -A INPUT -s 192.168.64.7 -d 192.168.64.6 -j REJECT

# -p 指定协议类型为 TCP
# --dport 指定目标端口
iptables -A INPUT -s 192.168.64.7 -d 192.168.64.6 -p tcp --dport 80 -j REJECT

# 看当前的 iptables 规则
# -L "list"，列出当前的规则
# -n "numeric"，即使用数字 IP 地址和端口号而不是主机名和服务名
# -v "verbose"，显示详细信息
iptables -L -n -v

# 列出带编号的规则
iptables -L --line-numbers
# 删除 INPUT 链中的第 1 条规则
# 注意！删除成功后序号会改变，需要重新查询序号
iptables -D INPUT 1
# 清除 INPUT 链所有规则
iptables -F INPUT  

# 清除当前活跃的表（未指定默认是 filter 表）的所有 iptables 规则
# 等同于 iptables -F -t filter
iptables -F

2. 端口转发

默认情况下，Linux 系统不会转发目的 IP 地址不是本地网络的 IPv4 数据包。这是出于安全考虑，防止系统意外成为恶意流量的转发表。要启用 IPv4 数据包转发功能，需要修改内核参数 net.ipv4.ip_forward

需要注意，上面的命令仅临时启用 IPv4 数据包。需要永久启用转发，需要修改 /etc/sysctl.conf 文件。 在该文件中添加或修改 net.ipv4.ip_forward=1 一行。 然后运行 sudo sysctl -p 应用更改

cat /proc/sys/net/ipv4/ip_forward
sudo sysctl -w net.ipv4.ip_forward=1

将本机的 8080 端口转发到 80 端口

iptables -t nat -A PREROUTING -p tcp --dport 8080 -j REDIRECT --to-port 80

# curl 127.0.0.1:8080
# curl 192.168.64.6:8080
# curl: (7) Failed to connect to 127.0.0.1 port 8080 after 1 ms: Couldn't connect to server

# 非本机访问 ok
# curl 192.168.64.6:8080

PREROUTING 链修改的是从外部连接过来时的转发，所以上面的方式本机 curl 127.0.0.1:8080 会提示：Couldn't connect to server

如果本机连接到本机的转发，需要修改为 OUTPUT 链：

# 清除已有 nat 规则
# iptables -F -t nat
iptables -t nat -A OUTPUT -p tcp --dport 8080 -j REDIRECT --to-port 80

# 非本机访问失败：
# curl 192.168.64.6:8080
# curl: (7) Failed to connect to 192.168.64.6 port 8080 after 1 ms: Connection refused

# 本机访问 ok
# curl 192.168.64.6:8080
# curl 127.0.0.1:8080

转发内网 IP

在 192.168.64.6 上增加规则：

# 清除已有 nat 规则
# iptables -F -t nat

iptables -t nat -A PREROUTING -p tcp --dport 8080 -j DNAT --to-destination 192.168.64.7:80
iptables -t nat -A POSTROUTING -p tcp -d 192.168.64.7 --dport 80 -j SNAT --to-source 192.168.64.6

转发公网的 IP 和端口

# 清除已有 nat 规则
# iptables -F -t nat

iptables -t nat -A PREROUTING -p tcp --dport 8080 -j DNAT --to-destination 106.55.113.110:80
# --to-source 使用公网地址会无法访问
iptables -t nat -A POSTROUTING -p tcp -d 106.55.113.110 --dport 80 -j SNAT --to-source 192.168.64.6

需要注意的是 SNAT 的 --to-source 需要设置为连接公网的网卡对应的内网 IP（通过 ip ad 查询），如果设置为公网 IP，数据包可能被丢弃

3. 内部 IP 共享上网

NAT 目的是为了解决 IPv4 公网 IP 不足的问题：

• 当私有网络中的设备发送数据包到公共网络时，NAT 设备会将数据包的 源IP地址（内网 IP）从私有地址转换为 公共IP地址，并维护一个转换表，记录所有的地址转换关系
• NAT 设备接收数据包时，会根据转换表将数据包的目标 IP 地址转换为内部设备的内网 IP，并将其发送到内部网络

包含的操作：

• SNAT (Source Network Address Translation)：修改数据包的源 IP 地址
• DNAT (Destination Network Address Translation)：修改数据包的目的 IP 地址
• MASQUERADE：和 SNAT 类似，但是对每个包都会动态获取指定输出接口（网卡）的 IP，因此如果接口的 IP 地址发送了变化，MASQUERADE 规则不受影响

举个 NAT 的例子：村民张三需要写信给河南的李四，写完后他在信封上写上，寄件人地址：勤劳村 8 号，收件人地址：河南省孟津县陈倪路 20 号。然后就把这封信投递到村里的邮局。邮递员拿到信件一看，这信要是寄出去，收件人通过 勤劳村 8 号 这个回信肯定没办法寄回村里，于是就将信封上寄件人地址修改为：四川省兴文县勤劳村邮局，再将信件发出，同时在本子上记录发往河南的这封信对应的是 勤劳村 8 号。 李四收到信件就按照信件上的信息编写信封，寄件人地址：河南省孟津县陈倪路 20 号，收件人地址：四川省兴文县勤劳村邮局，这样这封回信就寄到了村里的邮局，邮递员一看到这封信是来自河南，对着笔记本就知道这封信是送往 勤劳村 8 号，于是将收件人地址修改为了 勤劳村 8 号，这样邮递员派件的时候就可以把回信送到张三家

详细 NAT 原理可以参考这篇文章：[译] NAT 穿透是如何工作的：技术原理及企业级实践

实践

我是按着 使用iptables将ubuntu配置为路由器 进行操作，最后的效果：客户端可以通过连接一台配置了 SNAT 或者 MASQUERADE 的机器访问公网

注意：给网关和客户端指定 vmnet15 后还需要手动配置一下 虚拟网络：

网关 IP 配置：

network:
  version: 2
  ethernets:
    ens33: # WAN 接口
      dhcp4: true
    ens34: # LAN 接口
      dhcp4: no
      addresses: [10.1.2.1/24]

客户端配置：

network:
  version: 2
  ethernets:
    ens33:
      dhcp4: no
      addresses: [10.1.2.2/24]
      gateway4: 10.1.2.1 # 网关
      nameservers:
        addresses: [114.114.114.114]

在网关机器上进行 iptables 的配置：

sudo sysctl -w net.ipv4.ip_forward=1

# 将 10.1.2.0/24 网络中的所有主机伪装成 192.168.184.131 这个公网IP地址，以便它们可以访问外部网络
# -o ens33: 匹配通过 ens33 接口出站的数据包
iptables -t nat -A POSTROUTING -s 10.1.2.0/24 -o ens33 -j SNAT --to-source 192.168.184.131

这条命令允许内部网络的设备通过网关访问互联网。内部设备的 IP 地址在数据包离开网关时被替换为网关的公共 IP 地址，从而使外部网络只看到网关的 IP 地址，除了 SNAT 还可以使用 MASQUERADE，二者效果类似

iptables -t nat -A POSTROUTING -s 10.1.2.0/24 -j MASQUERADE

理解 iptables

表:

1. filter 表: 这是默认表，用于过滤数据包，决定是否允许数据包通过
2. nat 表: 用于网络地址转换 (Network Address Translation, NAT)。它主要用于修改数据包的源地址或目标地址，例如将私有 IP 地址转换为公有 IP 地址
3. mangle 表: 用于修改数据包的头部信息，例如修改 TTL (Time To Live) 值、TOS (Type of Service) 值等
4. raw 表: 用于在连接跟踪之前处理数据包，主要用于控制连接跟踪是否启用
5. security 表: (较新版本) 用于安全策略的实施，例如 SELinux

链：

1. PREROUTING
2. INPUT
3. FORWARD
4. OUTPUT
5. POSTROUTING

数据包的不同场景：

• 收到的、目的是本机的包：PRETOUTING -> INPUT
• 收到的、目的是其他主机的包：PRETOUTING -> FORWARD -> POSTROUTING
• 本地产生的包：OUTPUT -> POSTROUTING

图片来自：从零开始认识 iptables

表包含若干个链：

1. filter 表包含三个链：INPUT, FORWARD, OUTPUT
2. nat 表包含三个链：PREROUTING, POSTROUTING, OUTPUT
3. mangle 表五个链都包含
4. raw 表包含两个链：PREROUTING, OUTPUT

看到这些排列组合，可能已经凌乱了，可以看下面的这张图，conntrack 理解为 raw 表，来自：Netfilter Kernel (Packet) Traversal

Netfilter 内核数据包遍历就像保卫萝卜（塔防游戏）一样，数据包就像游戏中的怪物，会按照特定的路径移动，链就像在特定位置安置的炮塔，当数据包经过某个链时，链就会对数据包进行一些操作，链中包含若干条规则

既然已经有了链，可以在数据包的不同阶段执行特定操作，为什么还需要表呢？原因是不同规则的执行顺序可能会影响结果。比如，有两条规则：

1. 对数据包执行 SNAT
2. 对数据包的源 IP 进行过滤

如果先执行 SNAT，过滤操作会基于 SNAT 修改后的 IP 和端口进行匹配。但如果先执行过滤，数据包可能在 SNAT 应用之前就被过滤掉了。每个表的操作结果都会影响后续表的处理，所以 表的作用是将规则按照功能进行分类，避免执行顺序导致规则失效 。表的处理顺序：raw -> mangle -> nat -> filter

注意：相同表中相同链中如果多个规则匹配同一个数据包，则只有第一个匹配的规则会被执行

需要注意的是，在使用 iptables 命令时，如果没有指定表，默认表是 filter（最后处理的那个表）

# 手动指定 -t 为 nat 表
iptables -t nat -A PREROUTING -p tcp --dport 8080 -j REDIRECT --to-port 80

持久化

iptables 规则存储在内存中，系统重启后规则会丢失 ，可以安装 iptables-persistent 来持久化规则，规则保存在 /etc/iptables/rules.v4

sudo apt update
sudo apt install iptables-persistent

配置好 iptables 规则后，需要手动运行以下命令持久化规则：

sudo netfilter-persistent save

参考资料

iptables - wiki
iptables的四表五链与NAT工作原理
iptables做TCP/UDP端口转发【转】
通过iptables实现端口转发和内网共享上网
iptables error: unknown option --dport
How iptables tables and chains are traversed
[译] NAT - 网络地址转换（2016）
[译] 深入理解 iptables 和 netfilter 架构
VMware实现iptables NAT及端口映射