Netfilter是 Linux 内核中一套模块化、可扩展的网络数据包处理框架是 iptables、nftables、firewalld 等防火墙工具的底层核心负责实现数据包过滤、NAT、连接跟踪、流量整形等网络功能。Netfilter 是 Linux 内核内置的网络数据包处理框架通过5 个钩子点拦截网络流量配合5 张表实现过滤、NAT、修改、跟踪、安全控制是所有 Linux 防火墙的底层核心。核心定位与历史本质内核态的钩子Hook系统在 TCP/IP 协议栈关键路径上埋点允许内核模块注册回调函数介入数据包处理。起源由 Rusty Russell 主导开发Linux 2.42000 年正式引入替代早期的 ipchains/ipfwadm。设计理念模块化、分层、无侵入将规则配置用户态与数据包处理内核态分离。核心架构五钩子 表 / 链模型Netfilter 在 IPv4/IPv6 协议栈中定义了5 个标准钩子点Hook Points数据包按路径依次经过钩子点触发时机主要用途NF_INET_PRE_ROUTING数据包刚进入内核、路由决策前DNAT、流量标记、raw 表处理NF_INET_LOCAL_IN路由后发往本机进程入站过滤filter、本地 NATNF_INET_FORWARD路由后需要转发的数据包转发过滤、流量控制NF_INET_LOCAL_OUT本机进程发出、路由前出站过滤、SNAT 前处理NF_INET_POST_ROUTING数据包即将离开网卡、路由后SNAT、MASQUERADE、流量整形表Tables与链Chains规则按功能分组到表每个表包含对应钩子点的链规则列表filter 表默认负责过滤含 INPUT、FORWARD、OUTPUT 链。nat 表负责地址 / 端口转换含 PREROUTING、POSTROUTING、OUTPUT 链。mangle 表修改数据包头部TOS/TTL/Mark覆盖所有 5 个钩子。raw 表最早介入用于关闭连接跟踪NOTRACK。security 表用于强制访问控制MAC如 SELinux 标签。5 张表 作用 执行顺序执行优先级从上到下表名优先级核心功能一句话记住raw1关闭连接跟踪不跟踪、高性能mangle2修改数据包属性打标记、改 TTL/QoSnat3地址 / 端口转换SNAT/DNAT、共享上网filter4防火墙过滤允许 / 拒绝 / 丢弃security5SELinux 安全标记强制访问控制Netfilter 5 张表的执行顺序执行顺序raw → mangle → nat → filter → security作用raw优先级最高关闭连接跟踪NOTRACKmangle修改数据包头部、打 MARK、QoSnat地址 / 端口转换SNAT/DNATfilter防火墙过滤ACCEPT/DROP/REJECTsecuritySELinux 安全标记强制访问控制一个数据包从外网进入 Linux 路由器经过转发到另一台内网机器经过的所有 Netfilter 钩子点和表网卡收包PREROUTINGraw → mangle → natDNAT路由决策FORWARDmangle → filter → securityPOSTROUTINGmangle → natSNAT从网卡发出filter 表最常用、默认表作用对数据包进行过滤控制决定是否放行。优先级三张表里最后执行。包含链INPUT发往本机的包FORWARD经过本机转发的包路由器功能OUTPUT本机发出的包典型动作ACCEPT允许DROP丢弃REJECT拒绝并返回错误典型用途开放 / 关闭端口80、22 等限制某个 IP 访问防火墙规则nat 表网络地址转换作用修改数据包的源 IP / 端口SNAT或目标 IP / 端口DNAT。特点仅对连接首包生效后续包自动沿用转换结果。包含链PREROUTING刚进网卡时 →DNATOUTPUT本地进程发出的包 → 本地 DNATPOSTROUTING即将出网卡时 →SNAT/MASQUERADE典型用途SNAT/MASQUERADE内网共享一个公网 IP 上网DNAT端口映射、内网服务器对外暴露负载均衡前置转发mangle 表数据包修改作用修改数据包本身的属性不做过滤、不做 NAT。特点可以作用在所有 5 个钩子点。包含链PREROUTINGINPUTFORWARDOUTPUTPOSTROUTING典型用途设置MARK标记用于策略路由、tc 流量控制修改 TOS/DSCP优化 QoS修改 TTL防追踪、穿透数据包整形、分类raw 表raw 表是 iptables 中优先级最高的表高于 mangle/nat/filter自 iptables 1.2.9 版本引入对应的内核模块是iptable_raw其唯一核心目标是控制 nf_conntrack 连接跟踪通过NOTRACK动作让指定数据包彻底跳过连接跟踪不再进入 conntrack 哈希表、无状态记录从而降低内核开销、提升大流量场景性能。支持的链与动作仅两条链没有 INPUT/FORWARD/POSTROUTINGPREROUTING网卡收包刚进入 Netfilter路由决策前OUTPUT本机进程发出的包路由决策前核心动作NOTRACK禁用该数据包 / 连接的跟踪对应的状态是UNTRACKED可在 filter 表中匹配额外支持TRACE内核数据包跟踪调试仅在 raw 表有效规则特性一旦匹配 NOTRACK后续 conntrack 流程不触发但仍会走 mangle/filter 等表的常规处理只是无状态信息可用执行顺序与位置在 Netfilter 流程中的顺序是raw表PREROUTING/OUTPUT → mangle → nat → filter入站网卡 →raw PREROUTING→ 路由决策 → ...出站应用 →raw OUTPUT→ 路由决策 → POSTROUTING → 网卡转发PREROUTING raw → 路由 → FORWARD无 raw 链典型适用场景高并发 UDP / 流媒体DNS、视频会议、CDN 转发避免 conntrack 表溢出、锁竞争大流量 Web 服务器80/443 端口不做 NAT / 状态过滤时禁用跟踪减少 CPU / 内存消耗DDoS 防护前置过滤海量短连接包不触发 conntrack 资源耗尽内核调试用TRACE动作跟踪数据包在 Netfilter 各表的流转路径security 表security 表是 Netfilter 中用于强制访问控制MAC的表专门配合SELinux等安全模块对数据包打上 / 检查安全上下文标签做更细粒度的网络访问控制。位置在filter 表之后执行作用不是普通防火墙而是安全标签控制依赖一般只有开启 SELinux 时才真正发挥作用完整的 Netfilter 表执行优先级raw → mangle → nat → filter → security包含的链security 表的链和 filter 表完全一样INPUTFORWARDOUTPUT不包含 PREROUTING、POSTROUTING。主要用途SELinux 网络标签给数据包打上 SELinux 安全上下文控制哪个进程能发包哪个域能接收包转发包的安全策略强制网络访问控制比普通防火墙更严格即使 iptables filter 允许了security 表 SELinux 依然可以拒绝多级别安全MLS用于高安全场景涉密、政务、军工系统按安全级别隔离网络流量核心工作流程以 IPv4 为例数据包进入网卡经链路层处理后到达PRE_ROUTING钩子。内核执行路由决策判断是发往本机还是转发。发往本机 → 经过LOCAL_IN→ 交付上层协议栈。需要转发 → 经过FORWARD→ 再到POST_ROUTING→ 发送。本机发出 → 经过LOCAL_OUT→ 路由 →POST_ROUTING→ 发送。关键能力与应用数据包过滤基于 IP、端口、协议、MAC、TCP 标志位等规则允许 / 拒绝 / 丢弃数据包。NATSNAT修改源地址如内网共享公网 IP。DNAT修改目标地址如端口映射、反向代理。MASQUERADE动态 SNAT适配动态公网 IP。连接跟踪conntrack记录连接状态NEW/ESTABLISHED/RELATED实现状态防火墙。流量标记与整形结合 tc 实现 QoS、带宽限制、策略路由。日志与审计记录匹配规则的数据包用于安全分析。用户态工具生态iptables传统工具基于 Netfilter配置复杂但成熟稳定。nftables下一代工具统一 IPv4/IPv6/ARP/ 桥接语法更简洁、性能更好逐步替代 iptables。firewalld动态防火墙管理工具底层调用 iptables/nftables支持区域zone管理。与内核网络栈的关系Netfilter 是内核网络子系统的一部分直接嵌入 IP 层处理流程不依赖用户态处理效率高。它通过nf_register_hook()/nf_unregister_hook()注册 / 注销钩子函数回调返回值决定数据包命运NF_ACCEPT继续处理。NF_DROP丢弃。NF_STOLEN模块接管不再继续。NF_QUEUE送入用户态队列如 nfqueue。NF_REPEAT重新调用钩子。典型应用场景服务器防火墙限制入站端口如仅开放 80/443。网关 NAT家庭 / 企业路由器共享公网 IP。端口转发公网 IP 端口映射到内网服务。流量控制限制 P2P 下载带宽保障关键业务。安全审计记录所有进出数据包用于入侵检测。Netfilter 数据包流转总图IPv4┌───────────────┐ │ 网卡收包 │ └───────┬───────┘ │ ▼ ┌─────────────────────────────────────┐ │ NF_INET_PRE_ROUTING │ │ - raw 表: PREROUTING │ │ - mangle 表: PREROUTING │ │ - nat 表: PREROUTINGDNAT │ └───────────────┬─────────────────────┘ │ ▼ ╔═════════════════╗ ║ 路由决策点 ║ ║ 判断去向 ║ ╚═══════╦═════════╝ │ ┌──────────┴──────────┐ ▼ ▼ ┌────────────────┐ ┌─────────────────────────┐ │ 发往本机 │ │ 需要转发路由器场景 │ └────┬───────────┘ └───────┬─────────────────┘ │ │ ▼ ▼ ┌─────────────────────────┐ ┌─────────────────────────────┐ │ NF_INET_LOCAL_IN │ │ NF_INET_FORWARD │ │ - mangle 表: INPUT │ │ - mangle 表: FORWARD │ │ - filter 表: INPUT │ │ - filter 表: FORWARD │ │ - security 表: INPUT │ │ - security 表: FORWARD │ └──────────┬──────────────┘ └──────────────┬──────────────┘ │ │ ▼ ▼ 交付上层协议栈 ┌─────────────────────────────┐ │ NF_INET_POST_ROUTING │ │ - mangle 表: POSTROUTING │ │ - nat 表: POSTROUTING(SNAT)│ └──────────────┬──────────────┘ │ ▼ 从网卡发出本机发包流程补充┌────────────────┐ │ 应用层发包 │ └───────┬────────┘ │ ▼ ┌─────────────────────────────────────┐ │ NF_INET_LOCAL_OUT │ │ - raw 表: OUTPUT │ │ - mangle 表: OUTPUT │ │ - nat 表: OUTPUT本地进程DNAT │ │ - filter 表: OUTPUT │ │ - security 表: OUTPUT │ └───────────────┬──────────────────────┘ │ ▼ ╔═════════════════╗ ║ 路由决策点 ║ ╚═══════╦═════════╝ │ ▼ ┌─────────────────────────────────────┐ │ NF_INET_POST_ROUTING │ │ - mangle 表: POSTROUTING │ │ - nat 表: POSTROUTING(SNAT) │ └───────────────┬─────────────────────┘ │ ▼ 从网卡发出