第二十九章 九析带你轻松完爆 Istio - 网络流向之 iptables chain

系列文章:

总目录索引：九析带你轻松完爆 istio 服务网格系列教程

目录

1 前言

2 邀约

3 正文

---

1 前言

        若是你对博客有任何疑问，请告诉我。

---

2 邀约

        你能够从 b 站搜索 “九析”，获取免费的、更生动的视频资料：

---

3 正文

        一切都是那么明亮，光线照在身上，暖暖的。

        仰起头，依稀能听到风声。庭院里早春的鸟儿在围墙上啁啾，三五个下人在打扫着庭院，丫环婆子们在天井嗑着瓜子闲聊天，嬉笑声惊动了房脊上的信鸽，扑棱棱扇动双翅滑向远处湛蓝的天空……

        我是刘全，和府的总管。外表虽然光鲜，实质却还是一个仆人。我清楚知道本身的身份，天天当心谨慎、兢兢业业、如履薄冰般尽忠职守，日复一日、年复一年。

        不少人背后指责我狐假虎威、狗仗人势，我不解释也不能解释。我明白不少脏活必须我来作，不少坏人必须我来当。我必须作到多面，这是个人工做，更是个人天职。我知道太多讳莫如深、彼此心知肚明、但又不能点破说破的潜规则，我只能本身默默消化。我不被人理解，我习惯了。不少时候我都必须像鹰通常敏锐注视整个府邸的动态，并时时保持警戒，我不能有一丝疏漏，我不能让大人为难。

        一切波澜不惊之下每每隐藏着狂流暗涌。

        庞大帝国的中枢体系并不在黄墙以内，而是尽在府邸之中。1300 万平方千米疆域的数据所有聚集于此，并在此处作流转、作分发。咫尺即是天涯、天涯又近在咫尺。

        天天这里都在上演国泰民安、妻离子散；朔漠狼烟、塞外江南……

        我观望、处理、不带感情。晨钟暮鼓、安之若素。

        繁重的工做并无将我压垮，由于我并非一我的……

        个人用人标准很简单：少而精、懂协做。基于此，通过层层筛选和选拔，最后我把目光锁定在五我的身上（扑入锐、英扑特、鳌扑特、佛卧德、剖思特），这五我的各司其职，协调和控制整个帝国信息流的脉络走向。

扑入锐：奏折入口。核查奏折是否跟和府有关。若是跟和府有关则将奏折转给英扑特。

英扑特：接收来自扑入锐的奏折，并作规则检查，经过的奏折转给和府内部事务部门处理

熬扑特：接受和府内部事务部门写的奏折或者批示英扑特递交的折子，并作规则检查，检查并处理完毕后交给剖思特。

佛卧德：接受来自扑入锐的奏折，这些奏折表面跟和府无关，通过规则检查以后，直接转给剖思特。

剖思特：接受来自鳌扑特和佛卧德的奏折，并作规则检查。处理完把它们送到该送的地方去。

        整个数据信息流的处理极其缜密。我将他们牢牢编制在我设计的链条里。我观察着他们，规范着他们的一举一动。天天我都要把这一幕幕绘制成图，而后紧紧地印在个人脑海里。

============================================================================

        数据在主机中的具体流向，通常会有三种路径：

第一：数据报文经过网络、流经网卡、进入主机。通过检查，数据报文目标若是是本机，则将报文送到用户空间中的相关进程进行处理。

第二：数据报文经过网络、流经网卡、进入主机。通过检查，数据报文目标若是不是本机，则将报文直接经过网卡再发送到其余主机

第三：用户空间的进程产生数据报文，并将此报文经过内核空间的网络协议栈发送给网卡，再经过网卡把数据报文发送给其余主机

        若是数据只是在主机里流來流去，而不施加任何规则的话，世界就不会这么复杂。可是每每事与愿违，若是有人要恶意破坏系统怎么办呢？

        就像刘全为了不不利于和府的奏折流到皇上那里而设置五人关卡同样。linux 也采用了一样的机制来控制数据流，更为巧合地是，也是五道关卡。

prerouting（扑入锐）

input（英扑特）

forward（佛卧德）

output（鳌扑特）

postrouting（剖思特）

        iptables 经过在上述五道关卡上设置更多的规则来对主机中流动的数据作流向控制。数据流向图以下所示：

        未完待续……