iptables/ebtables学习笔记-CSDN博客

本文链接：https://blog.csdn.net/qq_41627408/article/details/137659278

本文介绍了Linux内核的数据包处理框架Netfilter，包括其构成、转发框架。详细阐述了Netfilter与iptables、ebtables的关系，如Netfilter在网络层和链路层分别提供hook点，iptables用于网络层数据包处理，ebtables用于链路层数据包过滤，还介绍了它们的配置和使用规则。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

Netfilter hook API：Netfilter 在网络协议栈处理数据包的关键流程中定义了 5 个 Hook 点，其它内核防火墙子模块（比如 ip_tables.ko）可以向这些 hook 点注册处理函数，这样当数据包经过这些 hook 点时，其上注册的处理函数将被依次调用。
内核防火墙子模块：Netfilter 提供了整个防火墙的框架，各个协议基于 Netfilter 框架来自己实现自己的防火墙功能。每个协议都有自己独立的表来存储自己的配置信息，他们之间完全独立的进行配置和运行。
链路层（2 层）防火墙子模块：ebtables，对运行在 Bridge 中协议报文进行处理。
ARP（2.5 层）防火墙子模块：arptables，对 ARP 协议报文进行处理。
网络层（3 层）防火墙子模块：iptables（IPv4）、ip6tables（IPv6）分别对 IPv4协议栈与IPv6协议栈中的报文进行处理。
nf_tables：旨在替换现有的 {ip，ip6，arp，eb}tables 框架，它使用现有的 Netfilter hook API，为 {ip，ip6}tables 提供一个新的包过滤框架、一个新的用户空间实用程序（nft）和一个兼容层。 Centos 8 已经使用 nftables 框架替代 iptables 框架作为默认的网络包过滤工具。
NAT 子系统：网络地址转换（SNAT、DNAT）。
Conntrack：连接跟踪模块，内核实现 statefull firewall、L4LB功能的主要模块。
Logging：nf_log，主要提供 Netfilter 的日志记录服务。使用 nft 添加规则，Netfilter 抛出日志，然后用户态的 ulogd2 程序监听读取这些日志后。 ulogd2 会将这些数据包日志转换成json、sqlite3/mysql、pcap等多种格式文件，方便进行分析或用于进行其他的数据处理（审计、分析等）。
Queueing：nf_queue，内核在 Netfilter 框架基础上提供的 ip_queue/nfnetlink_queue 机制，通常用于将数据包上送给用户空间的应用程序进行处理，从而使得基于用户态的防火墙开发成为可能。
Xtables：主要包含{eb，arp，ip，ip6}tables模块所使用的共享代码部分。后来，Xtables或多或少被用来指整个防火墙(v4、v6、arp和eb)体系结构。
用户态配置工具/应用程序：每个内核防火墙子模块（除了 Xtables）都有一个对应的用户态配置工具/应用程序。在讲述内核防火墙子模块的时候已经进行了相应介绍，这里不再进行赘述。