计算机网络通信的本质就是IP
数据包的转发,而实现数据包转发的基础就是位于网络中各节点上的路由表(RouteTable)
,即使节点不具备数据包转发的功能,以其自身(Localhost)
作为收发终端的的数据包传递也要通过其上路由表实现,下图是对网络节点数据包收发机制的抽象框图,通常充当网络节点的设备会具备不只一个网络接口,接口可以是物理的也可以是虚拟的,接口必须要配置上IP
地址才能实现数据包的收发,接口上的IP
地址可以根据实现需要配置同网段或不同网段,抑或二者混合,而在数据交换领域相同网段的接口拓扑层级相同因此可以被视为同一接口,所以在此接口区分的依据为其上的IP
地址为不同网段。
数据包通过广播进入节点某个接口的缓冲区随后由内核即协议栈接收,检查数据包的下一跳地址如果是本机接口则发送给用户空间中的应用程序,如果不是本身接口则意味着需要进行数据包的转发,如果节点开启IP_FORWARD
功能则根据路由表将数据包的目标地址替换为能到下一跳地址网络的网关地址随后通过对应的接口发送出去;应用程序输出的数据包也依据路由表确定目标地址后由对应接口广播出去。由此可见网络通信的核心就是路由表,其与协议栈皆位为内核层级,而iptables
程序则拓展了内核功能,给使用者提供了接口可以自定义规则来实现特定的数据包收发,iptables
规则对应逻辑上的五个链条,由下图所示分别是PREROUTING
,POSTROUTING
,FORWARD
,INPUT
和OUTPU