【Linux 防火墙】nftables 简单上手

黎东林

Debian 11 已自带 nftables，为 iptables 原团队研发的新一代 netfilter 解释器/命令行，性能更高效，命令行更直观，建议代替 iptables 使用。

官方Wiki：https://wiki.nftables.org

简单记录一下我习惯启用基本 nftables 的步骤：

1. mkdir /etc/nftables
2. vim /etc/nftables/default.nft

#!/usr/sbin/nft -f

flush ruleset

table ip default {

  chain input {

    type filter hook input priority 0; policy drop;

    iif lo accept
    ct state established, related accept

    # ping
    icmp type echo-request limit rate 500/second accept

    # SSH
    tcp dport 22 accept

    # Nginx
    #tcp dport { 80, 443 } accept
  }

  chain forward {

    type filter hook forward priority 0; policy drop;

    ct status dnat accept
  }
}

table ip6 default {

  chain input {

    type filter hook input priority 0; policy drop;

    iif lo accept
    ct state established, related accept

    icmpv6 type { nd-nei**or-solicit, nd-router-advert, nd-nei**or-advert } accept

    # ping
    icmpv6 type echo-request limit rate 500/second accept
  }

  chain forward {

    type filter hook forward priority 0; policy drop;

    ct status dnat accept
  }
}

3. vim /etc/nftables.conf

include "/etc/nftables/default.nft"

4. systemctl start nftables
5. systemctl enable nftables
6. systemctl restart nftables
7. 如有报错 systemctl status nftables 检查错误报告

8. 端口转发示例

table ip default {

  chain input {

    type filter hook input priority 0; policy drop;

    iif lo accept
    ct state established, related accept

    # ping
    icmp type echo-request limit rate 500/second accept

    # SSH
    tcp dport 22 accept
  }

  chain forward {

    type filter hook forward priority 0; policy drop;

    ct status dnat accept
  }

  chain prerouting {

    type nat hook prerouting priority -100; policy accept;

    iif eth0 tcp dport 443 dnat to ip 目的地:port 端口
  }

  chain postrouting {

    type nat hook postrouting priority 100; policy accept;

    masquerade
  }
}

完。

fuzzylogic

ufw语法更直观

zhujizixun

nftables天下第一！好用且强大，主机资讯帮顶。

shuang76

nft天下第一了？

sRGB

之前 iptables 不是白学了，之前写的 iptables 脚本不是不能用了。

debian buster不能启动docker守护进程（dockerd）的解决办法
iptables v1.8.2 (nf_tables): Chain already exists 解决办法
故障原因是Docker用iptables初始化NAT网络，而Debian buster使用 nftables 而不是 iptables，导致dockerd不能正常完成NAT初始化，出错退出。
处理方法是调用update-alternatives强制Debian用iptables而不是nftables。

sudo update-alternatives --set iptables /usr/sbin/iptables-legacy
# for ipv6
sudo update-alternatives --set ip6tables /usr/sbin/ip6tables-legacy

buste

可以

51Yo

我还是喜欢用firewall-cmd

chxin

sRGB 发表于 2022-5-23 09:53
之前 iptables 不是白学了，之前写的 iptables 脚本不是不能用了。

debian buster不能启动docker守护进程 ...

爱用啥就装啥呗，又不是iptables不更新也不兼容了

88232128

51Yo 发表于 2022-5-23 10:01
我还是喜欢用firewall-cmd

nftables可以firewalld强大多了

燕十三丶

不错 晚上回去了解下