Neutron之Iptables总结

openstack在网络管理上用的是neutron组件，而neutron管理网络流量直接用的是iptables规则。通过iptables能够有效的指定安全规则，为云计算提供安全的网络环境。那么要研究openstack的网络管理，必然要落到底层的iptables的研究上。

 

这次关于iptables研究使用的物理主机是OA环境4号节点。通过在openstack的dashboard上增减虚拟机和修改安全组的规则，来查看iptables规则的变化。了解低沉是如何实现安全策略的。关于iptables的基础知识此处不介绍。直接进入4号节点查看相关信息。

 

1.在没有虚拟机的情况下，在4节点查看iptables规则：

 

因为此时该节点上没有虚拟机，所有几乎没有什么实质性的规则。

 

2.在dashboard上新建新的安全组

 

3.点击新的安全组发现里面只有两条默认生成的规则。意思是能以任何ip协议，任何端口，把包发到任何一个有效的ip地址。

 

 

4.添加新的虚拟机并选择test安全组

 

5.点击新建的虚拟机，可以看到该虚拟机建在4号节点上，ip地址为172.16.15.16。而且放在test安全组。此时只有两条默认的安全规则。

 

6.此时再看iptables时，发现多了很多新的规则。这些规则就是和新建的虚拟机有关的安全规则。

 

 

 

 

7.在这里先要强调一点关于入口和出口。按照字面意义上我们可以理解入口和出口为INPUT何OUTPUT，还有转发FORWARD。如果这么理解，同时在dashboard上看到规则是关于入口和出口的名称，就容易陷入一个误区。那就是把本身属于虚拟机的入口和出口规则当成物理机的入口和出口。比如：给test安全组新建一条规则：

 

 

8.这条规则的意思是从任何一个有效的ip地址都能够远程登录该安全组内的虚拟机。

远程登录发现规则确实已经生效：

 

 

9.查看iptables规则：

 

 

这个时候就最容出现理解上的错误。因为当你看到规则是对INPUT制定的，那么你理所当然的就会去查看INPUT链下面的规则，这里我们就按照这种错误的思路往下看：

 

INPUT转发到neutron-linuxbri-INPUT链，这条规则匹配一个虚拟的物理设备tap55d95b52-59（该设备名可以用brctl show命令查看到）。匹配的也是这个设备的入口，同时指向neutron-linuxbri-o55d95b52-5这条链

 

我们接着查看neutron-linuxbri-o55d95b52-5链，发现这条链表示，无论以什么协议什么端口和ip地址发来的包，它都接收并有返回。但是我们前面指定的规则规定只能是tcp协议22端口任意ip。如果INPUT规则是这样的话，前面在dashboard上制定的规则就没有任何实际意义。

 

所以为了查看这条INPUT链到低有没有效，我们干脆直接把INPUT下的规则都删除。

 

这时再用shell远程连接，依然成功。这说明在dashboard上制定的入口规则没有走INPUT链。那不走INPUT链走什么链？当然是forward链，这就是陷阱所在。

 

 

10.前面讲到明明制定的是入口规则，走的却不是INPUT链。原因在于，我们新建的是虚拟机，而当前我们查看iptables规则，是在4号物理主机节点上。入口规则是针对虚拟机的，我们在INPUT链看到的规则却是和物理机相关的。所以我们就发现规则无效，其实并非无效，真正的规则应该在forward链里面，有物理机的forward链转发到虚拟机设备上。下面我们查看forward链：

 

a)先看第一个指向是neutron-filter-top链，看到最后一条链我们发现什么规则都没有，那就意味着使用默认的accept动作。因此forward下的第一条链可以不看了。

 

 

 

b）再看neutron-linuxbri-FORWARD链，发现他匹配 tap55d95b52-59设备的入口和出口，在这又分贝指向了另外一条相同的规则neutron-linuxbri-sg-chain

 

 

 

 

观察neutron-linuxbri-sg-chain链

 

接着看neutron-linuxbri-i55d95b52-5链，以i开头，表示的就是安全组的入口方向。在这里就能清晰的看到我们在dashboard上制定的规则，只能走tcp协议的22端口。图中在port下面是tcp代表的意思就是22这个数字。这里就和我们当初制定的规则匹配上了。

 

 

 

总结：openstack通过neutron制定的iptables规则，最终生成的规则会出现在物理机的forward链上，又forward转发给虚拟机的虚拟网卡设备。关于如何读懂规则和iptables相关命令的使用，可以参考下面的参看链接，里面有对iptables最详细的解释和说明，包括几乎所有iptables规则的命令字符。

参考链接：Iptables入门教程