Iptables 介绍与使用

连接跟踪（conntrack）连接跟踪是许多网络应用的基础。例如，Kubernetes Service、ServiceMesh sidecar、 软件四层负载均衡器 LVS/IPVS、Docker network、OVS、iptables 主机防火墙等等，都依赖连接跟踪功能。连接跟踪，顾名思义，就是跟踪（并记录）连接的状态。例如，图 1.1 是一台 IP 地址为 10.1.1.2 的 Linux 机器，我们能看到这台机器上有三条 连接：机器访问外部 HTTP 服务的连接（目的端口 80）外部访问机器内 FTP 服务的连接（目的端口 21）机器访问外部 DNS 服务的连接（目的端口 53）连接跟踪所做的事情就是发现并跟踪这些连接的状态，具体包括：从数据包中提取元组（tuple）信息，辨别数据流（flow）和对应的连接（connection）。为所有连接维护一个状态数据库（conntrack table），例如连接的创建时间、发送 包数、发送字节数等等。回收过期的连接（GC）。为更上层 ………………………………