Ce se întâmplă când nu există un lanț personalizat pentru a sări într-un tabel în iptables?

Tony Han

07.05.2023, 08:15

Mă uit la modul în care iptables funcționează în Kubernetes pentru pachete de la un pod la un serviciu. Pentru ieșire, trece mai întâi prin lanțul OUTPUT (nat apoi filtru în cazul meu). Parte a iptables-salvare rezultatul este ca:

# Generat de iptables-save v1.4.21 pe 
*nat
-A KUBE-SERVICES...
# alte reguli în tabelul nat

*filtru
: ACCEPT IEȘIRE [9:1136]
:KUBE-FIREWALL - [0:0] # se pare că nu există erori
:KUBE-SERVICES - [0:0]

-A OUTPUT -m conntrack --ctstate NEW -m comment --comentare „portale de servicii kubernetes” -j KUBE-SERVICES
-A IEȘIRE -j KUBE-FIREWALL
-A KUBE-FIREWALL -m comentariu --comentare "kubernetes firewall pentru eliminarea pachetelor marcate" -m mark --mark 0x8000/0x8000 -j DROP
# nu există lanț KUBE-SERVICES în tabelul de filtre

# fără reguli în alte tabele

Putem vedea din -A OUTPUT -m conttrack , sare la KUBE-SERVICII, dar nu gasesc un KUBE-SERVICII lanț în filtru masa. Ce se întâmplă când nu există?

Există o KUBE-SERVICII lanț în nat masă, dar cred că nu va merge la nat masa de la filtru masa?

166

0 + 0

linux

iptables

kubernetes

Puncte:1

Server

Bob

07.05.2023, 09:09

Cred că întrebarea ta este înrădăcinată în faptul că iptables-salvare ieșirea nu include contoare în lanțuri personalizate.

Doar lanțurile implicite din fiecare tabel (vezi om 8 iptables pentru care sunt în fiecare tabel) vor avea contoare de pachete/octeți salvate.

Toate celelalte lanțuri din sunt întotdeauna salvate cu [0:0] valorile.

Poate doriți să adăugați iptables-save -c marcați pentru a include contoare de pachete/trafic pentru toate regulile pentru a vedea cum pachetele vă traversează lanțurile și regulile. Acest lucru ar trebui să ofere, de asemenea, o indicație asupra locului în care li se decide soarta.

Deoarece AFAIK comportamentul obișnuit cu a -j ținta este că atunci când regulile din lanțul țintă au fost procesate și nu au rezultat într-o potrivire dispozitivă , atunci procesarea revine la lanțul inițial și următoarea (următoarele) reguli de acolo vor fi procesate. Așa că bănuiesc că atunci când o țintă personalizată este goală, așa se întâmplă și procesarea va continua imediat cu următoarea regulă din lanț.

0 + 0

Puncte:0

Server

AlexD

07.05.2023, 09:09

:KUBE-SERVICES - [0:0] linia definește lanțul KUBE-SERVICII în filtru masa. Nu are reguli și este gol, dar este încă definit.

0 + 0

SEF 777

întrebarea această in alte limbi:

EN: What happens when there's no custom chain to jump in a table in iptables?

TH: จะเกิดอะไรขึ้นเมื่อไม่มีเชนที่กำหนดเองเพื่อกระโดดในตารางใน iptables

RO: Ce se întâmplă când nu există un lanț personalizat pentru a sări într-un tabel în iptables?

RU: Что происходит, когда в iptables нет пользовательской цепочки для перехода к таблице?

VI: Điều gì xảy ra khi không có chuỗi tùy chỉnh để nhảy vào một bảng trong iptables?

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.