Linux NFTables防火墙配置步骤与使用指南
免费影视、动漫、音乐、游戏、小说资源长期稳定更新! 👉 点此立即查看 👈
提到Linux防火墙,现在绕不开nft了。它已经取代iptables,成为主流发行版的默认选择。别被“下一代防火墙”这个名头唬住,它并非碘伏性的新事物,更像是把旧工具的逻辑彻底重构了一遍,变得更干净、更统一。对于新手来说,最快的学习路径不是啃完所有语法,而是直接动手配置,在操作中理解。
怎么快速建一个能用的 filter 表
大部分场景下,我们只需要管理入站流量,比如只开放SSH端口,其他一概拒绝。这时候,使用inet地址簇是最省心的选择,它能同时处理IPv4和IPv6,避免为两种协议写两套重复的规则。
搭建一个基础防火墙,四步就够了:
- 创建表:
nft add table inet filter - 添加基链:
nft add chain inet filter input { type filter hook input priority 0 \; policy drop \; }。这里有个细节要注意,末尾的反斜杠和分号是Shell环境下的转义要求。policy drop将默认策略设为拒绝,这是构建安全规则的最佳起点。 - 放行回环接口:
nft add rule inet filter input iifname "lo" accept - 允许已建立的连接:
nft add rule inet filter input ct state established,related accept(这里的ct是conntrack的缩写)
执行完这四条命令,运行nft list ruleset就能看到完整的规则结构了。不过,这时候SSH还连不上——因为还没有明确放行22端口,这一点和iptables的逻辑是一致的。
为什么 tcp dport 22 accept 有时不生效
一个常见的问题是:明明添加了SSH端口规则,连接却依然失败。nft list ruleset显示规则存在,ss -tlnp | grep :22也确认sshd服务在监听。问题往往出在细节上。
首先,tcp dport 22只匹配TCP协议。虽然极其罕见,但如果客户端的SYN包在传输过程中被某些中间设备修改了协议类型,或者规则中误用了ip protocol tcp这类冗余写法,都可能导致匹配失败。
其次,规则的位置至关重要。nft会按照链内的顺序逐条匹配。如果把一条类似ct state invalid drop的兜底规则放在了SSH规则前面,那么新的连接请求会在匹配到SSH规则之前就被丢弃。
最后,地址簇的选择是个隐形陷阱。如果只在ip(仅IPv4)表里添加规则,而客户端实际通过IPv6连接,规则自然就失效了。这也是为什么一开始就推荐使用inet表。
一个更稳妥的写法是:nft add rule inet filter input tcp dport 22 ct state new accept。它明确限定只放行新连接(SYN包),既精准,又提升了安全性。
nft 规则重启后丢失怎么办
通过命令行添加的规则只存在于内存中,系统重启就会消失。实现持久化,标准路径其实很清晰:
- 导出规则到文件:
nft list ruleset > /etc/nftables.conf - 启用系统服务:
systemctl enable nftables。这里需要注意,像RHEL 8+或AlmaLinux这类发行版可能默认已启用,而Debian或Ubuntu则需要先手动安装nftables软件包,再启用服务。 - 检查服务配置:运行
systemctl status nftables,确认“Loaded”一行指向的配置文件路径是/etc/nftables.conf。
记住,不要画蛇添足地使用rc.local或自定义脚本去重新加载规则。nftables服务本身就会在启动时读取/etc/nftables.conf文件并载入规则,额外操作反而容易引入错误。另外,/etc/sysconfig/nftables.conf是旧版RHEL/CentOS 7使用的路径,新版本系统已经统一到了/etc/nftables.conf。
日志和调试最实用的三招
当规则不按预期工作时,光查看nft list的输出可能不够,我们需要确认数据包是否真的“走”到了那条规则。下面三个方法非常实用:
- 使用
counter计数器:在规则后加上counter,例如nft add rule inet filter input tcp dport 22 counter accept。之后通过nft list chain inet filter input查看pktcnt(包计数)和bytecnt(字节计数)是否增长,就能直观判断规则是否被命中。 - 添加
log日志记录:使用nft add rule inet filter input tcp dport 22 log prefix "SSH-ATTEMPT: " counter accept。这样匹配的包会被记录到内核日志,通过journalctl -k | grep "SSH-ATTEMPT"命令可以实时观察连接尝试。 - 结合
tcpdump验证:用tcpdump -i any port 22 and host来确认数据包是否真的到达了本机。再对比nft计数器的数据,就能分辨问题是包被丢弃了,还是根本没匹配上规则。
这里有个关键点:log语句本身不会终止规则的执行,所以它后面必须显式地跟上accept或drop动作。否则,数据包会继续向下匹配,可能被后续的规则意外处理。
说到底,配置nft真正的难点往往不在语法本身,而在于规则顺序、地址簇选择这些设计逻辑,以及忘记了counter和log这两个强大的调试工具。养成一个好习惯:每写完一条关键规则,立刻挂上一个counter验证其是否被命中,这比反复猜测失败原因要高效得多。
相关攻略
nftables已取代iptables成为Linux默认防火墙。配置基础过滤表需四步:创建inet表、添加基链并设默认拒绝策略、放行回环接口、允许已建连接。常见问题包括SSH规则因顺序或地址簇选择不当而失效,建议明确限定新连接。规则持久化需导出至 etc nftables conf并启用系统服务。调试时可使用counter计数器或log日志来验证规则命中情况
NFT头像制作:从创意到上链的完整指南 NFT头像,作为数字世界里的个性化身份标识,其诞生过程融合了艺术创意与程序化生成技术。一个完整的头像项目,从一个简单的想法到最终在区块链上“安家落户”,中间需要经历一系列环环相扣的步骤。今天,我们就来详细拆解这个全流程,带你走通从零到一的每一个关键环节。 概念
NFT究竟是什么?最通俗易懂的解释 NFT这个词听起来可能有些复杂,但它的核心概念可以用一个非常生活化的例子来理解。想象一下,你买了一幅世界著名画家的真迹,比如梵高的《星空》。这幅画是独一无二,全世界只有一幅。你拥有了它,就拥有了这幅画的所有权。别人可以给这幅画拍照,可以买这幅画的印刷品,但那些都只
对于希望在2025年紧跟以太坊市场动态的投资者而言,选择一款功能全面的监控app至关重要。本文将推荐几款顶级的以太坊价格监控应用,它们不仅提供实时的价格数据,还深度整合了nft和defi行情分析功能,帮助您一站式掌握加密世界的脉搏。 2025年以太坊价格监控App推荐榜 想在瞬息万变的加密市场里站稳
NFT与虚拟币:本质差异与新手入门指南 提到区块链世界,NFT和虚拟币无疑是两大热门。它们虽然共享着相同的技术根基,但内核与玩法却截然不同。弄懂其中的区别,不仅是知识上的补充,更是做出明智决策的第一步。下面,我们就来拆解一下这两者的根本不同,并为刚踏进这个领域的朋友,提供一些切实可行的入门思路。 对
热门专题
热门推荐
对于全球数字资产交易者而言,币安(Binance)是一个绕不开的名字。它凭借顶级的流动性、丰富的交易对选择以及业内领先的安全风控体系,赢得了大量用户的信赖。无论你是刚刚接触区块链投资的新手,还是追求极致效率的资深交易者,了解如何安全、规范地访问其官方平台,都是至关重要的第一步。下面,我们就来详细梳理
本文详细介绍了在欧意OKX平台购买U币的完整流程。从注册与账户安全设置开始,逐步讲解如何完成身份认证、充值法币或数字货币,并进入交易区购买U币。最后,强调了购买后的资产管理和安全存储注意事项,旨在为用户提供清晰、安全的操作指引。
本文介绍了在Binance安币平台进行合约交易的基本流程与核心操作。内容涵盖从账户开设、资金划转到合约选择、下单策略及风险管理等关键环节,旨在为新手提供清晰、实用的入门指引,帮助理解合约交易机制并建立基础操作框架,强调风险控制的重要性。
本文介绍了在Binance平台进行现货交易的基本流程与实用技巧。从账户注册与安全设置入手,详细说明了如何充值资金、认识交易界面。核心部分讲解了限价单与市价单的下单方法,并分享了设置止盈止损、管理仓位等基础风险管理策略,旨在帮助新手用户安全、顺畅地开始数字货币现货交易。
在《命运方舟》中,宝石等级是决定角色战力的核心要素,其重要性远超单纯的基础数值提升。它扮演着“战力放大器”的关键角色,能够将星石提供的属性加成成倍放大,并最终反映在你的面板战斗分上。透彻理解这套联动机制,是当前版本实现战力飞跃的高效途径。 其运作逻辑非常清晰:宝石等级奠定了你的基础战斗分,而这个基础