第二十八章 九析带你轻松完爆 Istio - 网络包之 iptables netfilter 关系

系列文章:

总目录索引：九析带你轻松完爆 istio 服务网格系列教程

目录

1 前言

2 邀约

3 正文

---

1 前言

        若是你对博客有任何疑问，请告诉我。

---

2 邀约

        你能够从 b 站搜索 “九析”，获取免费的、更生动的视频资料：

---

3 正文

        淅淅沥沥的雨不像下在外面，而是下在内心。

        清秀的男人推开重重的府门，外面的光线一点点透进去，就像蹑手蹑脚的小偷，悄无声息。空间中有潮湿木头腐朽的味道，男人微皱一下浓眉。

        房间本是宽敞，却被大大小小的箱子叠床架屋，因此显得异常逼仄。箱子质地坚硬结实，仿佛从纹理就能看出里面的价值。有些锁已经有了锈的痕迹，但却依然古色古香。

        雨声彷佛大了些，淅淅沥沥打在青石板的门阶上。男人透过门缝瞥了瞥远方，挡住视线的是一幢一幢的深不可测的门房。

        这里曾经风雨西窗，这里也曾衰草枯杨......

        男人收回目光，垂下眼睑，沉浸在一片静穆之中。

        远远的脚步声近了，门被打开又被迅速关上。一个俊俏的小厮满脸笑容又恭恭敬敬地靠近。

        老爷，这是新纳贡的单子。

山东府台跟咱们素有不合，他上贡皇上的礼品我统一给挡了。

福建的礼品有些我以为老佛爷不喜欢，就暂放在老爷的府上，其它我以为合适的就送上去了。

两江总督的进献的礼品太过豪奢，恐圣上震怒伤了身子，我所有都先扣下来暂存在老爷府上等待发落。

......

        男人一声不响，彷佛注意力全不在这里。他对小厮作事绝对是放心的。自从他当了总管以后，大大小小的规则都是他制定的。一次疏忽或纰漏都未曾有过。男人此刻心中所想究竟是什么，恐怕只有他本身知道。

============================================================================

        男人叫和珅、小厮叫刘全。

        和珅是帝国的柱石，它是整个帝国系统的“安全框架”，他深不可测，位于整个系统的内核空间，不可直接触达，他掌握整个帝国的数据走向。

        刘全是和珅的代理。他是和珅的心腹，为和珅出谋划策、制定一系列的事情处理规则。他不处于高墙以内，仅浮沉在市井的用户空间，却具备跟内核态打交道的能力。

============================================================================

        和珅就像 linux 内核中的 netfilter 安全框架，而刘全就是 netfilter 的客户端代理工具 iptables。经过刘全，能够将相应的规则做用在和珅之上。

        netfilter 是 linux 操做系统核心层的一个数据包处理模块，主要功能以下：

数据包过滤功能

数据包内容修改

数据包网络地址转换（NAT，net address translate）

        iptables 则是一个客户端工具，能够经过 iptables 制定一系列的规则，最终做用在 netfilter 之上，起到发挥 netfilter 功能，控制数据包流向与控制的做用。