【转载】iptables、tc和ip命令

2.3 CommandListener中的命令

CL一共定义了11个命令，这些命令充分反映了Netd在Android系统中网络管理和控制方面的职责。本节首先介绍Linux系统中常用的三个网络管理工具，然后再分类介绍CL中的相关命令。

2.3.1 iptables、tc和ip命令

网络管理和控制一直是一项比较复杂和专业的工作，由于Linux系统中原本就有一些强大的网络管理工具，故Netd也毫不犹豫充分利用了它们。目前Netd中最依赖三个网络管控工具，即iptables、tc和ip。

1. iptables命令[7][8][9]

iptables是Linux系统中最重要的网络管控工具。它与Kernel中的netfilter模块配合工作，其主要功能是为netfilter设置一些过滤（filter）或网络地址转换（NAT）的规则。当Kernel收到网络数据包后，将会依据iptables设置的规则进行相应的操作。举个最简单的例子，可以利用iptables设置这样一条防火墙规则：丢弃来自IP地址为192.168.1.108的所有数据包。

（1）iptables原理

iptables的语法比较复杂，但工作原理较易理解。清楚iptables的前提是理解它的表（Table）、链（Chain）和规则（Rule）。三者关系如图2-10所示。

由图2-10可知：

iptables内部（其实是Kernel的netfilter模块）维护着四个Table，分别是filter、nat、mangle和raw，它们对应着不同的功能，稍后将详细介绍它们的作用。

Table中定义了Chain。一个Table可以支持多个Chain，Chain实际上是Rule的集合，每个Table都有默认的Chain。例如filter表默认的Chain有INPUT、OUTPUT、FORWARD。用户可以自定义Chain，也可修改Chain中的Rule。稍后将介绍不同Table中默认Chain方面的知识。

Rule就是iptables工作的规则。首先，系统将检查要处理的数据包是否满足Rule设置的条件，如果满足则执行Rule中设置的目标（Target），否则继续执行Chain中的下一条Rule。

由前述内容可知，iptables中的Table和Chain是理解iptables工作的关键。表2-1总结了iptables中默认Table及Chain的相关内容。

由表2-1可知，有些Table的默认Chain具有相同的名字，导致我们理解起来有些困难。为此，读者必须结合图2-11所示的iptables数据包处理流程图来理解前述内容。由图可知，不同Table和Chain在此处理流程中起着不同的作用。

（2）iptables Target和常用参数

iptables中的Rule有四个默认定义的Target，如下。

ACCEPT：接收数据包。

DROP：直接丢弃数据包。没有任何信息会反馈给数据源端。

RETURN：返回到调用Chain，略过后续的Rule处理。

QUEUE：数据返回到用户空间去处理。

提示　iptables的扩展Target还支持REJECT。相比DROP而言，REJECT会发送反馈信息给数据源端，如主机不可达之类（icmp-host-unreachable）的信息。目前只有INPUT、OUTPUT、FORWARD以及被这三个链调用的自定义链支持REJECT。

iptables有很多参数，此处先介绍一些常用参数。

-t：指定table。如果不带此参数，则默认为filter表。

-A,--append chain
rule-specification：在指定Chain的末尾添加一条Rule，rule-specification指明该Rule的内容。

-D,--delete chain
rule-specification：删除指定Chain中满足rule-specification的那条Rule。

-I,--insert chain [rule num] rule-specification：为指定Chain插入一条Rule，位置由rule
num指定。如果没有该参数，则默认加到Chain的头部。

-N：创建一条新Chain。

-L,--list：显示指定Table的Chain和Rule的信息。

Rule-specification描述该Rule的匹配条件以及目标动作，它也有一些参数来指明这些信息。

-i：指定接收数据包的网卡名，如eth0、eth1等。

-o：指定发出数据包的网卡名。

-p：指定协议，如tcp、udp等。

-s,--source address[/mask]：指定数据包的源IP地址。

-j,--jump target：跳转到指定目标，如ACCEPT、DROP等。

以前文提到的设置防火墙为例，其对应的iptables设置参数如下。

iptables -t filter -A INPUT -s 192.168.1.108 -j DROP

如果仅拦截协议为tcp的数据包，则相应参数如下。

iptables -t filter -A INPUT -p tcp -s 192.168.1.108 -j DROP

另外，iptables仅支持IPv4，如果需针对IPv6进行相应设置，则要使用ip6tables工具。

提示　iptables的用法非常灵活，如果没有长期的使用经验，将很难理解它们的真正作用。