understanding iptables

• iptables의 작동 방식, 규칙 체인 및 실행 순서를 이해하고 싶은 상황

Reference

https://jimmysong.io/en/blog/understanding-iptables/

---

iptables는 Linux 커널에서 중요한 기능이며 다양한 응용 프로그램을 가지고 있습니다. iptables는 투명한 트래픽 하이재킹을 위해 Istio에서 기본적으로 사용됩니다. Istio의 작동 방식을 이해하려면 iptables를 이해하는 것이 매우 중요합니다.

이 글에서는 iptble에 대해 간략하게 소개합니다.

---

iptables introduction

iptables는 Linux 커널의 방화벽 소프트웨어인 netfilter를 위한 관리 도구입니다. netfilter는 사용자 공간에 위치하며 netfilter의 일부입니다. netfilter는 커널 공간에 위치하며 네트워크 주소 변환뿐만 아니라 패킷 내용 수정 및 패킷 필터링 방화벽 기능도 갖추고 있습니다.

Init 컨테이너 초기화를 위한 iptables에 대해 살펴보기 전에 iptables와 규칙 구성에 대해 살펴봅시다.

다음 그림은 iptables call chain을 보여줍니다.

iptables

Init 컨테이너에 사용되는 iptables 버전은 v1.6.0이며 5개의 테이블로 구성되어 있습니다.

1. RAW는 패킷을 구성하는 데 사용됩니다. RAW의 패킷은 시스템에서 추적하지 않습니다.
2. 필터는 모든 방화벽 관련 작업을 수용하는 데 사용되는 기본 테이블입니다.
3. NAT은 네트워크 주소 변환(예: 포트 포워딩)에 사용됩니다.
4. Mangle은 특정 패킷을 수정하는 데 사용됩니다(손상된 패킷 참조).
5. 보안은 제어 네트워크 규칙에 대한 액세스를 강제하는 데 사용됩니다.

---

Understand iptables rules

Istio-프록시 컨테이너의 기본 iptables 규칙을 확인합니다. 기본 보기는 필터 테이블의 규칙입니다.

$ iptables -L -v
Chain INPUT (policy ACCEPT 350K packets, 63M bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain OUTPUT (policy ACCEPT 18M packets, 1916M bytes)
 pkts bytes target     prot opt in     out     source               destination

INPUT, FORWARD, OUTPUT 의 세 가지 기본 체인이 있으며, 각 체인의 첫 번째 출력 라인은 체인 이름(이 경우 INPUT/FORWARD/OUTPUT)을 표시한 다음 기본 정책(Access)을 표시합니다.

다음은 트래픽이 INPUT 체인을 통과한 다음 상위 프로토콜 스택으로 들어가는 iptables의 제안된 구조 다이어그램입니다:

각 체인에 여러 개의 규칙을 추가할 수 있으며 규칙은 앞에서 뒤로 순서대로 실행됩니다. 규칙의 표 헤더 정의를 살펴봅시다.

PKTS: 처리된 일치하는 메시지 수 bytes: 처리된 누적 패킷 크기(bytes) Target: 메시지가 규칙과 일치하면 지정된 대상이 실행됩니다. PROT: TDP, UDP, ICMP, ALL과 같은 프로토콜. opt: 거의 사용되지 않는 이 열은 IP 옵션을 표시하는 데 사용됩니다. IN: 인바운드 네트워크 인터페이스. OUT: 아웃바운드 네트워크 인터페이스. source: 트래픽의 소스 IP 주소 또는 서브넷, 후자는 어디에나 있습니다. destination: 트래픽의 목적지 IP 주소 또는 서브넷 또는 아무 곳에서나 사용할 수 있습니다. 또한 규칙의 옵션을 나타내는 마지막에 표시된 헤더가 없는 열이 있으며, 이전 열의 구성을 보완하기 위해 규칙의 확장 일치 조건으로 사용됩니다. prot, opt, in, out, source 및 destination과 목적지 뒤에 표시된 헤더가 없는 열이 함께 일치 규칙을 구성합니다. 트래픽이 이러한 규칙과 일치할 때 TARGET이 실행됩니다.

---

Types supported by Target

대상 유형에는 ACCEPT, REJECT, DROP, LOG, SNAT, MASQUERADE, DNAT, REDIRECT, RETURN 또는 다른 규칙으로 점프 등이 있습니다. 프로그래밍 언어의 리턴 문과 유사한 리턴 유형을 제외하고 순서에 맞는 체인에서 하나의 규칙만 실행하면 텔레그램이 어디로 향하고 있는지 확인할 수 있으며, 콜 포인트로 돌아가 다음 규칙을 계속 실행합니다.

출력에서 Init 컨테이너는 iptables의 기본 링크에 규칙을 만들지 않고 대신 새 링크를 생성한다는 것을 알 수 있습니다.