2026-04-22 | linux · networking | #netfilter #conntrack #nat #iptables #nftables #nf-hook #nf-conn #snat #dnat #bpftrace
iptables/nftables 只是用户态前端——真正拦截每一个网络包的是内核中的 Netfilter 框架。本文从 Linux 6.6 内核源码拆解 Netfilter 的三大核心:nf_hook_entries 钩子链的注册与遍历、nf_conn 连接跟踪的双向元组哈希表与 GC 机制、NAT 的 SNAT/DNAT 转换路径;以及 nf_tables 相比 iptables 的关键架构升级——generation-based 无锁更新和 blob 化规则存储。
2026-04-03 | linux · networking | #netfilter #iptables #nftables #conntrack #SNAT #DNAT #firewall #linux-kernel
Netfilter 五个 hook 点、四表五链的真实遍历顺序、conntrack 状态机与性能开销、SNAT/DNAT/MASQUERADE 辨析,再到 nftables 替代方案和 eBPF 数据面——从内核视角拆解 Linux 防火墙。
2026-04-03 | kubernetes · networking | #kube-proxy #Service #iptables #IPVS #nftables #EndpointSlice #ClusterIP #load-balancing
从 userspace 到 eBPF,拆解 kube-proxy 四种模式的实现原理与性能权衡
2026-04-03 | kubernetes · networking | #eBPF #iptables #nftables #netfilter #firewall #conntrack #XDP #performance
iptables、nftables、eBPF 三种防火墙机制的架构差异、性能对比与迁移路径