จะเกิดอะไรขึ้นเมื่อไม่มีเชนที่กำหนดเองเพื่อกระโดดในตารางใน iptables

ฉันกำลังดูว่า iptables ทำงานอย่างไรใน Kubernetes สำหรับแพ็กเก็ตจากพ็อดไปยังบริการ สำหรับขาออก จะต้องผ่าน OUTPUT chain ก่อน (จากนั้นจึงกรองในกรณีของฉัน) ส่วนหนึ่งของ iptables-บันทึก ผลลัพธ์จะเป็นดังนี้:

# สร้างโดย iptables-save v1.4.21 บน 
*แนท
-A KUBE-บริการ ...
# กฎอื่นๆ ในตารางแนท

*กรอง
: ยอมรับเอาต์พุต [9:1136]
:KUBE-FIREWALL - [0:0] # ดูเหมือนว่าไม่มีความล้มเหลว
:บริการ KUBE - [0:0]

-A OUTPUT -m conntrack --ctstate NEW -m ความคิดเห็น --comment "พอร์ทัลบริการ kubernetes" -j KUBE-SERVICES
-A OUTPUT -j KUBE-ไฟร์วอลล์
-A KUBE-FIREWALL -m comment --comment "kubernetes firewall สำหรับวางแพ็กเก็ตที่ทำเครื่องหมายไว้" -m mark --mark 0x8000/0x8000 -j DROP
# ไม่มีเชน KUBE-SERVICES ในตารางตัวกรอง

#ไม่มีกฎในตารางอื่น

เราสามารถดูได้จาก -A OUTPUT -m เชื่อมต่อ , มันกระโดดไปที่ บริการ KUBEแต่ฉันไม่สามารถหา บริการ KUBE ห่วงโซ่ใน กรอง ตาราง. จะเกิดอะไรขึ้นเมื่อไม่มีอยู่จริง?

มี บริการ KUBE ห่วงโซ่ใน แนท แต่เดาว่าคงไม่เข้า แนท ตารางจาก กรอง ตาราง?

ฉันคิดว่าคำถามของคุณมีรากฐานมาจากข้อเท็จจริงที่ว่า iptables-บันทึก เอาต์พุตไม่รวมตัวนับในเชนแบบกำหนดเอง

เฉพาะเชนเริ่มต้นในแต่ละตาราง (ดู คนที่ 8 iptables ที่อยู่ในแต่ละตาราง) จะมีตัวนับแพ็กเก็ต/ไบต์ที่บันทึกไว้

ห่วงโซ่อื่น ๆ ทั้งหมดจะถูกบันทึกไว้เสมอ [0:0] ค่า

คุณอาจต้องการเพิ่ม iptables-บันทึก -c แฟล็กเพื่อรวมแพ็กเก็ต/ตัวนับทราฟฟิกสำหรับกฎทั้งหมดเพื่อดูว่าแพ็กเก็ตผ่านเชนและกฎของคุณอย่างไร นั่นควรเป็นข้อบ่งชี้ด้วยว่าชะตากรรมของพวกเขาถูกกำหนดไว้ที่ใด

เนื่องจาก AFAIK เป็นพฤติกรรมปกติที่มี -เจ เป้าหมายคือเมื่อกฎในห่วงโซ่เป้าหมายได้รับการประมวลผลและไม่ส่งผลให้เกิดการจับคู่แบบแยกส่วน การประมวลผลจะกลับไปที่ห่วงโซ่เดิมและกฎถัดไปจะถูกประมวลผล ดังนั้นฉันจึงสงสัยว่าเมื่อเป้าหมายที่กำหนดเองว่างเปล่านั่นคือสิ่งที่เกิดขึ้นเช่นกัน การประมวลผลจะดำเนินการต่อทันทีด้วยกฎถัดไปในห่วงโซ่

:บริการ KUBE - [0:0] เส้นกำหนดห่วงโซ่ บริการ KUBE ใน กรอง ตาราง. มันไม่มีกฎและว่างเปล่า แต่ก็ยังถูกกำหนดไว้