百度360必应搜狗淘宝本站头条
tomcat 乱码无法与服务器建立安全连接是什么意思sysv-rc-confdocker映射容器目录到宿主机internet explorer 增强的安全配置已启用
当前位置:网站首页 > 技术文章 > 正文

linux系统防火墙高级配置-Day 3:nftables实践

nanshan 2025-03-19 14:56 11 浏览 0 评论

1. nftables核心优势

与iptables对比

特性

iptables

nftables

语法结构

多命令分散(filter/nat等)

统一语法,JSON式结构化配置

性能

依赖链表遍历

基于寄存器和哈希表优化

规则集管理

需多表多链协调

单规则集全局管理

扩展性

依赖内核模块

内置表达式和动态更新

IPv4/IPv6支持

需ip6tables分开配置

支持多协议族(ip/inet等)

核心概念

  • 表(Table):容器,关联协议族(如ip/ip6/inet)。
  • 链(Chain):规则容器,绑定钩子(hook)和优先级。
  • 规则(Rule):匹配条件 + 执行动作。
  • 集合(Set):动态或静态的IP/端口集合。
  • 字典(Map):键值对映射(高级动态规则)。

2. 基础配置实战

案例1:创建基础防护规则

# 创建名为filter的inet协议族表(支持IPv4/IPv6)
nft add table inet filter

# 创建输入链(hook input,优先级0)
nft add chain inet filter input {
    type filter hook input priority 0;
    policy drop;  # 默认拒绝
    }

# 允许已建立连接和ICMP
nft add rule inet filter input ct state established,related accept
nft add rule inet filter input ip protocol icmp accept

# 开放SSH和HTTP
nft add rule inet filter input tcp dport {22, 80, 443} accept

查看配置

nft list ruleset  # 导出完整规则集
nft list table inet filter  # 查看指定表

3. 高级功能实践

案例2:动态黑名单(IP集合)

# 创建名为blacklist的ipv4地址集合
nft add set inet filter blacklist { type ipv4_addr; flags dynamic; }

# 拦截黑名单IP并自动过期(60秒)
nft add rule inet filter input ip saddr @blacklist counter drop
nft add rule inet filter input tcp dport 22 add @blacklist { ip saddr timeout 60s }

案例3:VLAN间流量控制

# 创建vlan10和vlan20的过滤表
nft add table bridge vlan_filter

# 过滤不同VLAN间的ICMP和SSH
nft add chain bridge vlan_filter forward {
    type filter hook forward priority 0;
}

nft add rule bridge vlan_filter forward vlan id 10 ip saddr 192.168.10.0/24 vlan id 20 ip daddr 192.168.20.0/24 tcp dport 22 accept
nft add rule bridge vlan_filter forward vlan id 20 ip saddr 192.168.20.0/24 vlan id 10 icmp type echo-request accept

4. 网络地址转换(NAT)

SNAT配置(共享上网)

nft add table nat
nft add chain nat postrouting { type nat hook postrouting priority 100; }
nft add rule nat postrouting oifname "eth0" masquerade

DNAT配置(端口转发)

nft add chain nat prerouting { type nat hook prerouting priority -100; }
nft add rule nat prerouting tcp dport 80 dnat to 192.168.1.100:8080

5. 从iptables迁移到nftables

迁移工具

# 将iptables规则转换为nftables语法
iptables-save > iptables.rules
iptables-restore-translate -f iptables.rules > nftables.conf

# 直接导入生效
nft -f nftables.conf

手动转换示例

# iptables原始规则
iptables -A INPUT -p tcp --dport 22 -j ACCEPT

# 对应的nftables规则
nft add rule inet filter input tcp dport 22 accept

6. 性能优化技巧

  • 命名集合加速匹配
# 定义端口集合
nft add set inet filter web_ports { type inet_service; elements = { 80, 443 } }
nft add rule inet filter input tcp dport @web_ports accept
  • 原子规则加载
# 批量更新规则(避免临时失效)
nft -f /etc/nftables.conf
  • JIT编译器启用
sysctl -w net.netfilter.nf_tables_jit_enable=1

7. 实战任务

任务1:构建Web应用防护

  • 阻止SQL注入尝试:
nft add rule inet filter input tcp dport 80 \
    payload base 0 @ 0,0 65535 \  # 匹配整个数据包
    string "union select" \        # SQL注入特征
    counter drop
  • 限制每个IP每秒最多10个HTTP请求:
nft add rule inet filter input tcp dport 80 \
    meter http_limit { ip saddr limit rate 10/second } \
    counter accept

任务2:网络分流策略

  • 根据源IP分流流量:
nft add map inet filter route_map { type ipv4_addr : ipv4_addr; }
nft add rule inet filter prerouting \
    ip saddr { 192.168.1.100 } \
    dnat to tcp dport map @route_map

8. 注意事项

  • 服务管理
# CentOS/RHEL
systemctl enable --now nftables
# Ubuntu/Debian
apt install nftables && systemctl start nftables
  • 配置持久化
# 保存规则到配置文件
nft list ruleset > /etc/nftables.conf
  • 兼容模式
  • 通过nf_tables内核模块实现与iptables共存使用iptables-nft兼容层逐步迁移

相关推荐

小白初学linux之无法修改系统分辨率

/*此文是做为自己的一个总结还有就是最好也可以给大家提供一些帮助。*/时间:2020年7月14日11:28:41我安装的是Ubuntu20.04LTS,昨天处理的是,grub的引导问题,因为是...

Ubuntu 如何启动、停止或重启服务

在本文中,我们向您介绍在Ubuntu中启动、停止和重启服务的方法。列出Ubuntu中的所有服务在开始之前,先获取计算机上所有服务的列表,因为我们需要知道服务名称来管理服务。service--...

Win11学院:如何在Windows 11上使用WSL安装Ubuntu

IT之家2月18日消息,科技媒体pureinfotech昨日(2月17日)发布博文,介绍了3中简便的方法,让你轻松在Windows11系统中,使用WindowsSubs...

Linux安装中文输入法-Google拼音输入法,搜狗输入法

主要步骤,选择适合自己的尝试:1)卸载之前没装好的搜狗输入法。@:~/Downloads$sudoapt-getremovefcitx*删除依赖库@:~/Downloads$sudoap...

Ubuntu 22.04 请谨慎使用搜狗输入法,可能是你当机原因

在Ubunutu下没有什么有名的输入法,也就听说搜狗输入法有Linux版本,所以特意到官网去找了下载。在Ubuntu新版本里,他仍然用的是fcitx框架的输入引擎,而不是默认的ibus,所以要先把i...

前钢后胶!徐工XMR403VT小型压路机有点意思

【第一工程机械网原创】在越来越注重施工品质,对项目管理越来越精细化的今天,施工方在施工设备选择上,也越来越讲究设备的配套分工,因此小型压路机的应用场景也越来越多。徐工XMR403VT小型压路机高度集...

图大明白 | 404错误为什么是Not Found?为什么是404?

“404错误”大家都不陌生吧?常规来讲它长这样或者长这样艺术一点的长这样404NotFound意思就是所请求的页面不存在或者已被删除被称为“互联网最后一个界面”有很多同学发出疑问:为什么是404?...

Nginx负载均衡安全配置说明2(nginx负载均衡部署)

上一节,我们对Nginx安全配置的几个知识点做了一个说明,例如限制IP访问、文件目录禁止访问限制、需要防止DOS攻击、请求方法的限制和限制文件上传的大小这个进行了一个分析说明,详细的文章请关注我的头条...

惊艳写真系列第403期,本期主人公—叶青

惊艳写真系列第403期,本期主人公—叶青制作不易,欢迎各位看官提供宝贵意见。如果您喜欢记得关注,么么哒。您的每一份点赞和关注都是对作者的最大认可(图片素材均来源于网络,如有侵权联系删除。)本篇是写惊艳...

先秦布币之尖足布、圆足布、方足布,今年圆足最高拍卖价16万一枚

在战国魏、韩地区诞生桥足平首布、锐角平首布之后,赵也诞生了尖足平首布,并且在尖足布的基础上,后来相继派生出了圆足布、三孔布,以及类圆足布和类方足布。一尖足布尖足布是从耸肩尖足空首布演变而来的,是黄河...

403 禁止访问错误的全面排查与解决方案

当遇到403Forbidden错误时,意味着服务器已接收并理解请求,但拒绝执行访问操作。以下从用户端、服务器端等多个维度,提供分步排查与解决方法。一、用户端基础排查1.检查URL准确性确认...

这才是2019年夏最高颜值的泳装(2019夏季泳装秀)

最近的天气是越来越热了,又到了暑期泳衣勇闯海滩的时刻了,打开ins,微博满满地都是各大博主晒的泳装照,明星们也纷纷跑到海边去度假了。虽然我们没有超模般地身材,但是到了海边我们也要成为人群中最亮眼的那颗...

朋友圈爆火!这组《衡中班主任的一天》漫画,感动了无数人!

很多人觉得做老师很轻松他们说有些老师一天一节课就下班了有双休,还有寒暑假,真让人羡慕呀······但事实真是这样吗?最近衡水中学的赵心扬同学画了一组漫画形象地还原了衡中班主任一天的生活那么衡中班主任一...

国家安全教育 | 一组漫画,带你走进国家安全!

当前,我国面临哪些安全威胁?下面带你来看一组漫画!①你要配合,注意保密。我绝不对别人讲。②这件事,千万别对别人讲。③咱单位的…喂!老k!你要当心,有风声了!④你的泄密行为已触犯了国家法律!①请你协助了...

400、403、404、405,访问网页时出现这些代码是什么意思?

今天小泽访问一个页面时,出现了403,很抱歉,您的访问请求被禁止的提示。相信经常用电脑访问网页的朋友都遇到过这种情况,有的网页提示错误代码403,有的提示404,那这些代码都代表了什么呢?有什么含义呢...

取消回复欢迎 发表评论:

一周热门
最近发表
标签列表