开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

nftables

nftables 是 Linux 内核中的一个框架，用于构建和管理网络数据包过滤规则。它是 iptables 的下一代，旨在提供更强大、更灵活的网络过滤功能。

基础概念

nftables 使用一个名为“表”（table）的概念来组织规则集，每个表可以包含多个“链”（chain），而每个链又可以包含多个规则（rule）。当网络数据包到达时，nftables 会根据这些规则进行匹配和处理。

相关优势

性能优化：nftables 设计了更高效的规则匹配算法，能够处理更高的数据包吞吐量。
灵活性：支持多种扩展模块，可以轻松添加新的功能和协议支持。
简洁性：通过统一的命令行接口和配置文件格式，简化了规则的管理和维护。
可扩展性：能够与其他系统和服务集成，提供更强大的网络管理能力。

类型

nftables 支持多种类型的表和链，主要包括：

filter：用于过滤数据包，类似于传统的 iptables 规则。
nat：用于网络地址转换（NAT），支持源地址转换（SNAT）和目标地址转换（DNAT）。
mangle：用于修改数据包的特定字段，如 TTL、TOS 等。
raw：用于处理原始数据包，通常用于配置不进行连接跟踪的数据包。

应用场景

网络安全：通过设置过滤规则，阻止未经授权的访问和恶意流量。
负载均衡：使用 NAT 表实现数据包的负载均衡。
服务质量（QoS）：通过 mangle 表调整数据包的优先级和服务类型。
VPN：配置特定的规则来实现虚拟私人网络（VPN）功能。

常见问题及解决方法

问题：规则不生效

原因：

规则配置错误，如链名或规则语法错误。
规则顺序不正确，导致后续规则覆盖前面的规则。
表或链未正确加载。

解决方法：

检查规则语法和链名是否正确。
确保规则按照正确的顺序排列。
使用 nft list table <table_name> 和 nft list chain <table_name> <chain_name> 命令检查表和链是否正确加载。

问题：性能下降

原因：

规则集过于复杂，导致匹配效率低下。
系统资源不足，无法处理大量的数据包。

解决方法：

优化规则集，减少不必要的规则和复杂度。
增加系统资源，如 CPU 和内存，以提高处理能力。

示例代码

以下是一个简单的 nftables 规则示例，用于阻止所有来自特定 IP 地址的数据包：

# 创建一个新的表
nft add table ip filter

# 创建一个新的链
nft add chain ip filter input { type filter hook input priority 0 \; }

# 添加规则阻止来自 192.168.1.100 的数据包
nft add rule ip filter input ip saddr 192.168.1.100 drop

通过以上示例，你可以看到 nftables 的基本用法和配置方式。希望这些信息对你有所帮助。

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

nftables用法介绍

Kubernetes 1.29版本中已经将nftables作为一个featureGates，本文简单整理了nftables的用法，便于后续理解kubernetes的nftables规则。...文末给出了使用kubeadm部署启用nftables featureGates的配置文件。如下内容来源nftables的man文档以及wiki。...nftables和iptables的不同之处 nftables使用了新的语法：nftables使用了类似tcpdump的紧凑语法可以完全配置tables和chains：iptables中有一些预定义的...单个nftables可以执行多个动作：iptables中通过匹配只能执行单个动作，但在nftables 规则中可以包含0或多个expressions(用于匹配报文)，以及1或多个statements，每个...nftables的结构跟iptables一样，nftables也使用了table->chain->rule的概念。并使用family的概念区分了报文类型。

1.6K1 0

nftables初体验

前言之前耳闻 nftables 是下一代 iptables 。前段时间配了一台主机，折腾成家里的软路由。就一并来尝鲜一系列新东西，其中就包括 nftables 。.../libnftnl/ nftables: http://git.netfilter.org/nftables/ 和 podman 一样， nftables 的高版本对依赖库的版本也有一定要求，系统自带的不一定符合要求...其他的规则和流程 nftables 和 iptables 是一样的。只是 nftables 更简单易读一些。...具体可参见 Wiki: https://wiki.nftables.org/wiki-nftables/index.php/Ruleset_debug/tracing 在 nftables 里有个工具...按Wiki的说法（ https://wiki.nftables.org/wiki-nftables/index.php/Moving_from_ipset_to_nftables ）是可以用 nftables

2.1K4 0

nftables初体验

前言之前一直耳闻 nftables 是下一代 iptables 。前段时间配了一台主机，折腾成家里的软路由。就一并来尝鲜一系列新东西，其中就包括 nftables 。.../libnftnl/ nftables: http://git.netfilter.org/nftables/ 和 podman 一样， nftables 的高版本对依赖库的版本也有一定要求，系统自带的不一定符合要求...其他的规则和流程 nftables 和 iptables 是一样的。只是 nftables 更简单易读一些。...具体可参见 Wiki: https://wiki.nftables.org/wiki-nftables/index.php/Ruleset_debug/tracing 在 nftables 里有个工具...按Wiki的说法（ https://wiki.nftables.org/wiki-nftables/index.php/Moving_from_ipset_to_nftables ）是可以用 nftables

7.1K1 0

nftables 与 OpenVPN 的结合实践

本文对比了 linux 环境各类防火墙工具，还展示了 iptables 规则如何保存到文件并翻译成 nftables 规则，并给出了 nftables 与 openvpn 配合对混合云内网用户访问权限的精准控制方案...选型与对比鉴于之前写的 VPN 权限管理项目的缺点，以及对比 iptables(ipset)、nftables、ebpf-iptables 后，确定过滤网络数据包的底层工具还是选用 nftables...因为已经考虑完全用 nftables 替代 iptables 了所以要考虑用 nftables 来组织规则，该怎么写呢？...参考资料 Moving from iptables to nftables[1] 脚注 [1] Moving from iptables to nftables: https://www.oschina.net...url=https%3A%2F%2Fwiki.nftables.org%2Fwiki-nftables%2Findex.php%2FMoving_from_iptables_to_nftables

2.9K3 0

nftables 日志解决方案实践

nftables 重要规则进行日志记录，并配置日志切割、nftables 规则固定到文件，保证重启不丢失。...从 nftables v0.7 开始，支持 log 标志。...那么我们的内核是5.13.0-1.el7.elrepo.x86_64，nftables 版本是nftables v0.8 (Joe Btfsplk)，应该不需要手动加载内核模块。....*" -/var/log/nftables.log ## 重启日志服务 systemctl restart rsyslog ## 查看日志 tail -100f /var/log/nftables.log...生产上有测试机器疯狂访问数据库，这里清理日志改成每3月 vim /etc/logrotate.d/nftables /var/log/nftables.log { monthly rotate

2.6K2 0

折腾一下nftables下的双拨

（这里也是 nftables 尚未支持的功能，所以我用了 ebtables ）第二个要点是需要关注一下 man 8 ip-rule 里的 SELECTOR 参数。...我家里的工具用得比较激进，目前是 iptables 和 nftables 共存的。...NAT由 nftables 提供，iptables 仅仅提供了一些第三方工具尚未支持和 nftables 不支持的功能。默认情况下，两个PPP连接成功以后，都会添加到默认路由表中。...nftables 也自带随机和Hash功能，这样设置起来就很简单。和其他服务的tproxy策略路由配合在这之前，我的软路由里已经有其他服务使用了Mark做tproxy了（使用了0-7位）。...nftables 则支持表达式，更灵活一些。但是 nftables 目前版本对Mark操作时，逻辑运算符的右边的第二个参数必须是常量，不能是变量。

2.3K2 0

CentOS 8 都发布了，你还不会用 nftables？

如果你还没有听说过 nftables，现在是时候学习一下了。...nftables 主要由三个组件组成：内核实现、libnl netlink 通信和 nftables 用户空间。...nftables VS iptables nftables 和 iptables 一样，由表（table）、链（chain）和规则（rule）组成，其中表包含链，链包含规则，规则是真正的 action。...与 iptables 相比，nftables 主要有以下几个变化： iptables 规则的布局是基于连续的大块内存的，即数组式布局；而 nftables 的规则采用链式布局。...备份规则： $ nft list ruleset > /root/nftables.conf 加载恢复： $ nft -f /root/nftables.conf 在 CentOS 8 中，nftables.service

1.7K0 0

又开新坑之 coredns 插件: nftables和filter

背景传说中的下一代 iptables 的 nftables 已经出来了好长时间了。现在主流发行版的内核也都已经更新到了对 nftables 支持足够好的版本。...在2年多前我也初步体验过了 nftables ，当时写了个《nftables初体验》。并且开始使用 nftables 来实现对家里软路由的管理。...而去年的时候，我也尝试用 nftables 实现了双拨（详见: 《折腾一下nftables下的双拨》）并且可以搭配TPROXY透明代理使用。...coredns-nftables coredns-nftables 用于操作 nftables。先预留了也许以后还可以由其他操作，所以插件名字就叫 nftables 。...*/i nftables:github.com/owent/coredns-nftables' plugin.cfg go get github.com/owent/coredns-nftables

1.2K2 0

Kubernetes 1.29 增强了 KMS V2 并提供对 nftables 的支持

最新版本引入了一些新特性，比如 Service 负载均衡器的 IP 模式、Windows 容器的可变 Pod 资源以及基于 nftables 的 kube-proxy。...在新的版本中，为 kube-proxy 引入了一个基于 nftables 作为新后端。添加该特性是因为一些 Linux 发行版正在废弃或移除 iptables。...来自发布团队的 Nina Polshakova 评论了这个特殊的特性：在 nftables 模式下，kube-proxy 使用 nftables 代替 iptables 来配置数据包的转发规则。...查看英文原文： Kubernetes 1.29 Released with KMS V2 Improvements and nftables Support (https://www.infoq.com

2341 0

云原生家庭网络（十七）：使用 nftables 透明拦截流量

概述iptables 和 nftables 都能用于透明代理的流量拦截，区别就是 nftables 是后起之秀，未来取代 iptables。可读性更高、性能更好。...本文介绍如何在路由器利用 nftables 透明拦截流量。...思路可以利用 Pod 的 postStart 和 preStop 两个生命周期的 hook 来设置和清理 nftables 相关规则： lifecycle: postStart...name: nftables-config name: nftables-config - configMap: defaultMode: 511.../nftables.conf # 设置 nftables 规则exit 0清理规则的脚本clean.sh:#!

4481 0

GNULinux 系统下 nftables 防火墙的本地 IPS 能力部署实例

通过执行命令 vi /lib/systemd/system/nftables.service，从该文件中的语句 ExecStart=/usr/sbin/nft -f /etc/nftables.conf...我们可以清楚的看到，nftables 防火墙的默认配置和规则文件一般都放置在系统的 /etc/nftables.conf 目录中，不过该默认配置文件中只包含一个名为 inet filter 的简单 IPv4...与 iptables 中的链不同，nftables 也没有内置链。...这意味着与 iptables 不同，如果链不匹配 nftables 框架中的簇或钩子，则流经这些链的数据包不会被 nftables 触及。链有两种类型。...之后用户可以使用命令 nft list ruleset > /etc/nftables.conf 将这些规则保存在 nftables 的默认配置文件中，并使用 systemctl enable nftables.service

1.2K1 0

让 Linux 防火墙新秀 nftables 为你的 VPS 保驾护航

，但 nftables 的灵活性更高。...01 安装 nftables 首先需要安装 nftables： $ yum install -y nftables 由于 nftables 默认没有内置的链，但提供了一些示例配置，我们可以将其 include...主配置文件为 /etc/sysconfig/nftables.conf，将下面一行内容取消注释： # include "/etc/nftables/inet-filter" 然后启动 nftables...为了使系统或 nftables 重启后能够继续生效，我们需要将这些规则持久化，直接将规则写入 /etc/nftables/inet-filter： $ echo "#!...中创建一个 nftables 文件： $ cat /etc/logrotate.d/nftables /var/log/nftables/* { rotate 5 daily maxsize 50M

4K1 0

Linux 连接跟踪（conntrack）

以 nft_ct 内核模块为例，它是 Nftables 的带状态包过滤模块。...1.5 nf_conntrack 模块当第一条带有连接跟踪表达式（CONNTRACK EXPRESSION）的 Nftables 规则添加到当前网络命名空间的规则集（ruleset）中时，Nftables...3、CT 实战 3.1 概览 Iptables/Nftables 用于匹配跟踪连接状态的常用语法如下所示： #Nftables example ct state established,related...Iptables/Nftables：其中一些 bit 位可以通过在 Iptables/Nftables 规则中使用 conntrack 表达式直接进行匹配。...匹配此报文的 conntrack 表达式 Nftables ct state related Nftables ct state related ct direction reply Iptables

6911 0

linux防火墙的配置和管理（二）

sysconfig/iptables要在系统启动时加载防火墙规则，请使用以下命令：service iptables savechkconfig iptables onnftables在最新版本的Linux内核中，nftables...nftables具有更简洁的语法和更好的性能。nftables的基本语法与iptables类似，但有一些重要的区别。...以下是一些nftables规则：允许特定端口的流量nft add rule inet filter input tcp dport accept例如，以下命令将允许HTTP流量：nft add

1.8K1 0

解决CentOS 8 Docker容器无法上网的问题

解决办法通过搜索了解到CentOS 8上防火墙发生了一些变化，防火墙原来使用iptables，现在使用nftables，猜测可能是转发引起的问题。...Resolving under Network [CentOS8]，解决办法为：编辑firewalld配置文件/etc/firewalld/firewalld.conf，将： FirewallBackend=nftables...总结可通过修改/etc/docker/daemon.json设置Docker DNS CentOS 8防火墙由iptables变更为了nftables 可通过修改Firewalld配置文件/etc/firewalld.../firewalld.conf将nftables换回iptables

2.2K1 0

关于 Linux 中 iptables 升级的一些笔记

1写在前面 ---- 学习 K8s 中 kube-proxy 组件调用相关，iptables 模式发现调用链有些特殊怀疑是 iptables 版本太旧的问题，所以升级一下试试关于升级是否有必要，nftables...iptables-1.8.7.tar.bz2 ┌──[root@vms100.liruilongs.github.io]-[~/ansible] └─$tar -xvf iptables-1.8.7.tar nftables...一起升级有些其他的包不支持，好像需要同步升级，所以这里我直接把 nftables 排除调 ┌──[root@vms100.liruilongs.github.io]-[~/ansible/iptables.../configure --disable-nftables ┌──[root@vms100.liruilongs.github.io]-[~/ansible/iptables-1.8.7] └─$ls

4533 0

UCloud基于Linux内核新特性的下一代外网网关设计及相关开源工作

在这种方式下能有效的使用传统iproute2路由工具以及iptables、nftables等Firewall工具，并且随着SwitchDev技术的兴起，未来将网关系统迁移到Linux Switch上也成为一种可能...3. flow offload Nftables是一种新的数据包分类框架，旨在替代现存的{ip,ip6,arp,eb}_tables。...在nftables中，大部分工作是在用户态完成的，内核只知道一些基本指令（过滤是用伪状态机实现的）。nftables的一个高级特性就是映射，可以使用不同类型的数据并映射它们。...提交patch：我们给内核加了一个支持判断网卡类型的match项目，让用户态避免可知的第二次无效重入，内核态和用户态nftables分别提交了如下的patch： netfilter: nft_meta:...0fb4d21956f4a9af225594a46857ccf29bd747bc meta: add iifkind and oifkind support http://git.netfilter.org/nftables

1.6K4 0

从脆弱到完美：Kubernetes自我修复实践

在操作系统映像迁移期间解决失败的 nftables 在将我们的节点从 Ubuntu 迁移到 Azure Linux 操作系统时，我们注意到 nftables 并未在已迁移的节点上运行。...Kubernetes 依赖于主机 VM 上的 nftables，用于在节点上进行 Pod 间路由规则和出口流量。这阻止了网络策略正确应用，导致节点上出现不规则的网络故障。...经过调查，我们发现这是由于 nftables.conf 文件中缺少换行符（请参阅问题 #4144 和 [#7301](https://github.com/microsoft/azurelinux/issues...为了解决此问题，我们实施了一种自修复 Automation ，用于标记主机 VM 未运行 nftables 的节点。...相应的修复程序通过在末尾追加换行符来更正 nftables.conf 文件，并重新启动 nftables systemd 服务。图 9：修复程序部署前节点的故障 nftables 数量。

2101 0

云原生家庭网络（二）：基础网络配置

systemctl enable rc-local另外，路由器上网需要配置 IP MASQUERADE，即确保让出公网的报文的源 IP 自动 SNAT 成本机公网 IP，这样才能正常收到回包，我是通过 nftables...配置的，以下是 nftables 配置文件：#!...link set enp${i}s0 promisc ondone/sbin/ip link set br_lan promisc on配置防火墙对于主路由方案，在 Ubuntu 里配置防火墙，可以用 nftables...Count the unmatched traffic counter \ comment "Count any unmatched traffic" }}确保 nftables...服务处于 enabled 状态: systemctl enable nftables配置内核参数增加配置 /etc/sysctl.d/10-router.conf：# 作为路由器，启用 ip 转发（

2452 0

openwrt插件——OC猫安装并简单配置

本文描述的是如果手动安装过程，不想折腾的直接换别人编译好的集成该插件的固件首先安装依赖在OpenWrt 22.03以后的版本中，防火墙升级为Firewall4的nftables。...libcap-bin ruby ruby-yaml kmod-tun kmod-inet-diag unzip luci-compat luci luci-base 而当前最新的，22.03以后的版本 #nftables

2.6K2 0

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭