linux中级之防火墙的数据传输过程

网络数据传输过程

netfilter在数据包必须经过且可以读取规则的位置，共设有5个控制关卡。这5个关卡处的检查规则分别放在5个规则链中（有的叫钩子函数（hook functions）。也就是说5条链对应着数据包传输路径中的5个控制关卡，链中的规则会在对应的关卡检查和处理。任何一个数据包，只要经过本机，必然经过5个链中的某个或某几个。

PREROUTING      数据包刚进入网络接口之后，路由之前

INPUT             数据包从内核流入用户空间

FORWARD         在内核空间中，从一个网络接口进入，到另一个网络接口去。转发过滤

OUTPUT           数据包从用户空间流出到内核空间

POSTROUTING     路由后，数据包离开网络接口前

链其实就是包含众多规则的检查清单，每一条链中包含很多规则。当一个数据包到达一个链时，系统就会从链中第一条规则开始检查，看该数据包是否满足规则所定义的条件。如果满足，系统就会根据该条规则所定义的方法处理该数据包；否则就继续检查下一条规则，如果该数据包不符合链中任一条规则，系统就会根据该链预先定义的默认策略来处理数据包。

1、网络数据传输的基本流程

数据从上层进入到传输层，加上源端口和目标端口成为数据段(如果是UDP则成为数据报)，再进入网络层加上源IP和目标IP成为数据包，再进入链路层加上源MAC地址和目标MAC地址成为数据帧，这段过程是一种"加头"封装数据的过程。数据经过网络传输到达目标主机后，逐层"剃头"解包，最终得到data纯数据内容。

2、本机数据路由决策

其实，进程间数据传输的方式有多种：共享内存、命名管道、套接字、消息队列、信号量等。上面描述的OSI通信模型只是数据传输的一种方式，它特指网络数据传输，是基于套接字(ip+port)的，所以既可以是主机间进程通信，也可以是本机服务端和客户端进程间的通信。

无论如何，网络数据总是会流入、流出的，即使是本机的客户端和服务端进程间通信，也需要从一个套接字流出、另一个套接字流入，只不过这些数据无需路由、无需经过物理网卡(走的是LoopBack)。当接收外界发送的数据时，在数据从网卡流入后需要对它做路由决策，根据其目标决定是流入本机数据还是转发给其他主机，如果是流入本机的数据，则数据会从内核空间进入用户空间(被应用程序接收、处理)。当用户空间响应(应用程序生成新的数据包)时，响应数据包是本机产生的新数据，在响应包流出之前，需要做路由决策，根据目标决定从哪个网卡流出。如果不是流入本机的，而是要转发给其他主机的，则必然涉及到另一个流出网卡，此时数据包必须从流入网卡完整地转发给流出网卡，这要求Linux主机能够完成这样的转发。但Linux主机默认未开启ip_forward功能，这使得数据包无法转发而被丢弃。Linux主机和路由器不同，路由器本身就是为了转发数据包，所以路由器内部默认就能在不同网卡间转发数据包，而Linux主机默认则不能转发。

下图可以很好地解释上面的过程：

本文是为了介绍防火墙的，充当防火墙的主机需要至少两块网卡，所以有必要解释下数据流入和流出时，Linux主机是如何处理的。

首先要说明的是，IP地址是属于内核的(不仅如此，整个tcp/ip协议栈都属于内核，包括端口号)，只要能和其中一个地址通信，就能和另一个地址通信(这么说不严谨，准确地说是能路由这两个地址)，而不管是否开启了数据包转发功能。例如某Linux主机有两网卡eth0:172.16.10.5和eth1:192.168.100.20，某192.168.100.22主机网关指向192.168.100.20，它能ping通192.168.100.20，但也一样能ping通172.16.10.5，因为地址属于内核，从eth1进来的数据包被内核分析时，发现目标地址为本机地址，直接就产生新数据包回应192.168.100.22，根据路由决策，该响应包应从eth1出去，于是192.168.100.22能收到回复完成整个ping过程。

在此过程中，没有进行数据包转发过程，因为流出的响应包是新产生的，而非原来流入的数据包。如果流入和流出的包是一样的(或者稍作修改)，则数据流入后不能进入用户空间，而是直接通过内核转发给另一个网卡。数据包从网卡1交给网卡2，这个过程就是转发，在Linux主机上由ip_forward进行控制。例如，网卡1所在网段主机ping网卡2所在主机时，数据包流入网卡1后就需要转交给网卡2，然后从网卡2流出。

报文的大体流向：