游乐游手机版
首页/系统平台/文章详情

Linux NFTables防火墙配置步骤与使用指南

时间:2026-05-09 14:28
nftables已取代iptables成为Linux默认防火墙。配置基础过滤表需四步:创建inet表、添加基链并设默认拒绝策略、放行回环接口、允许已建连接。常见问题包括SSH规则因顺序或地址簇选择不当而失效,建议明确限定新连接。规则持久化需导出至 etc nftables conf并启用系统服务。调试时可使用counter计数器或log日志来验证规则命中情况

Linux怎么配置NFTables防火墙 Linux下一代防火墙配置详解

提到Linux防火墙,现在绕不开nft了。它已经取代iptables,成为主流发行版的默认选择。别被“下一代防火墙”这个名头唬住,它并非碘伏性的新事物,更像是把旧工具的逻辑彻底重构了一遍,变得更干净、更统一。对于新手来说,最快的学习路径不是啃完所有语法,而是直接动手配置,在操作中理解。

怎么快速建一个能用的 filter 表

大部分场景下,我们只需要管理入站流量,比如只开放SSH端口,其他一概拒绝。这时候,使用inet地址簇是最省心的选择,它能同时处理IPv4和IPv6,避免为两种协议写两套重复的规则。

搭建一个基础防火墙,四步就够了:

  • 创建表nft add table inet filter
  • 添加基链nft add chain inet filter input { type filter hook input priority 0 \; policy drop \; }。这里有个细节要注意,末尾的反斜杠和分号是Shell环境下的转义要求。policy drop将默认策略设为拒绝,这是构建安全规则的最佳起点。
  • 放行回环接口nft add rule inet filter input iifname "lo" accept
  • 允许已建立的连接nft add rule inet filter input ct state established,related accept(这里的ctconntrack的缩写)

执行完这四条命令,运行nft list ruleset就能看到完整的规则结构了。不过,这时候SSH还连不上——因为还没有明确放行22端口,这一点和iptables的逻辑是一致的。

为什么 tcp dport 22 accept 有时不生效

一个常见的问题是:明明添加了SSH端口规则,连接却依然失败。nft list ruleset显示规则存在,ss -tlnp | grep :22也确认sshd服务在监听。问题往往出在细节上。

首先,tcp dport 22只匹配TCP协议。虽然极其罕见,但如果客户端的SYN包在传输过程中被某些中间设备修改了协议类型,或者规则中误用了ip protocol tcp这类冗余写法,都可能导致匹配失败。

其次,规则的位置至关重要。nft会按照链内的顺序逐条匹配。如果把一条类似ct state invalid drop的兜底规则放在了SSH规则前面,那么新的连接请求会在匹配到SSH规则之前就被丢弃。

最后,地址簇的选择是个隐形陷阱。如果只在ip(仅IPv4)表里添加规则,而客户端实际通过IPv6连接,规则自然就失效了。这也是为什么一开始就推荐使用inet表。

一个更稳妥的写法是:nft add rule inet filter input tcp dport 22 ct state new accept。它明确限定只放行新连接(SYN包),既精准,又提升了安全性。

nft 规则重启后丢失怎么办

通过命令行添加的规则只存在于内存中,系统重启就会消失。实现持久化,标准路径其实很清晰:

  • 导出规则到文件nft list ruleset > /etc/nftables.conf
  • 启用系统服务systemctl enable nftables。这里需要注意,像RHEL 8+或AlmaLinux这类发行版可能默认已启用,而Debian或Ubuntu则需要先手动安装nftables软件包,再启用服务。
  • 检查服务配置:运行systemctl status nftables,确认“Loaded”一行指向的配置文件路径是/etc/nftables.conf

记住,不要画蛇添足地使用rc.local或自定义脚本去重新加载规则。nftables服务本身就会在启动时读取/etc/nftables.conf文件并载入规则,额外操作反而容易引入错误。另外,/etc/sysconfig/nftables.conf是旧版RHEL/CentOS 7使用的路径,新版本系统已经统一到了/etc/nftables.conf

日志和调试最实用的三招

当规则不按预期工作时,光查看nft list的输出可能不够,我们需要确认数据包是否真的“走”到了那条规则。下面三个方法非常实用:

  • 使用counter计数器:在规则后加上counter,例如nft add rule inet filter input tcp dport 22 counter accept。之后通过nft list chain inet filter input查看pktcnt(包计数)和bytecnt(字节计数)是否增长,就能直观判断规则是否被命中。
  • 添加log日志记录:使用nft add rule inet filter input tcp dport 22 log prefix "SSH-ATTEMPT: " counter accept。这样匹配的包会被记录到内核日志,通过journalctl -k | grep "SSH-ATTEMPT"命令可以实时观察连接尝试。
  • 结合tcpdump验证:用tcpdump -i any port 22 and host 来确认数据包是否真的到达了本机。再对比nft计数器的数据,就能分辨问题是包被丢弃了,还是根本没匹配上规则。

这里有个关键点:log语句本身不会终止规则的执行,所以它后面必须显式地跟上acceptdrop动作。否则,数据包会继续向下匹配,可能被后续的规则意外处理。

说到底,配置nft真正的难点往往不在语法本身,而在于规则顺序、地址簇选择这些设计逻辑,以及忘记了counterlog这两个强大的调试工具。养成一个好习惯:每写完一条关键规则,立刻挂上一个counter验证其是否被命中,这比反复猜测失败原因要高效得多。

来源:https://www.php.cn/faq/2444915.html
上一篇Linux系统Tab转空格命令expand使用教程 下一篇苹果手机屏幕如何无线投屏到Mac电脑
本站内容用于信息整理与展示,如有侵权或内容问题请及时联系处理。

相关推荐

补充同频道和同主题内容,方便继续浏览更多相关内容。

同类最新

继续查看同栏目最近更新的文章。

更多
麒麟系统字体太小看不清如何调整界面字体大小
系统平台 · 2026-07-01

麒麟系统字体太小看不清如何调整界面字体大小

麒麟系统高分屏字体过小需分层干预:控制中心调整缩放至150%或200%,辅助功能增大文本,命令行设置MateDPI值(2K设200 0,4K设220 0),QT类软件用环境变量QT_DEVICE_PIXEL_RATIO=2,终端取消使用系统等宽字体并改字号,输入法候选字体调至16或18。

Win11记事本默认不换行如何设置为自动换行
系统平台 · 2026-07-01

Win11记事本默认不换行如何设置为自动换行

Windows11记事本默认不自动换行,手动开启仅对当前窗口有效。若要永久启用,可修改注册表,在HKCU Software Microsoft Notepad路径下新建DWORD值fWrap并设为1,或导入含此设置的 reg文件,此后所有新建记事本文件均自动换行显示,无需重复手动操作,一劳永逸。

银河麒麟系统时间快几分钟的调整方法
系统平台 · 2026-07-01

银河麒麟系统时间快几分钟的调整方法

银河麒麟系统时钟快几分钟的解决方法:先用date命令校正系统时间,再执行hwclock--systohc写入硬件时钟;启用systemd-timesyncd并配置阿里云NTP服务器;禁用chronyd避免服务冲突;双系统用户需设置硬件时钟为UTC模式。

Win11多屏下设置软件只在特定屏幕打开的方法
系统平台 · 2026-07-01

Win11多屏下设置软件只在特定屏幕打开的方法

双屏办公时,通过快捷方式添加启动参数、利用Windows窗口位置记忆功能或PowerShell脚本,可让软件自动在副屏打开,免去手动拖拽,提升工作效率。

MacBook如何取消菜单栏蓝牙搜索状态
系统平台 · 2026-07-01

MacBook如何取消菜单栏蓝牙搜索状态

在macOS中,进入系统设置“控制中心”,将蓝牙设为“不显示在菜单栏”即可隐藏图标且功能正常;旧版系统则在蓝牙偏好设置中取消勾选“在菜单栏中显示”。