什么是 nftables ? 它与 iptables 的区别是什么？

几乎每个 Linux 管理员都使用过 iptables，它是一个 Linux 系统的防火墙。但是你可能还不太熟悉 nftables，这是一个新的防火墙，可为我们提供一些必需的升级，还有可能会取代 iptables。

为什么要使用 nftables 呢？

Nftables由Netfilter组织开发，该组织目前负责维护iptables。Nftables的设计目的在于解决iptables存在的性能和可扩展性问题。

除了一些升级和更改的语法以外，nftables 的功能与 iptables 几乎相同。之所以推出 nftables 的另一个原因，是因为 iptables 的框架变的有点复杂，iptables, ip6tables, arptables 以及 ebtables 都有不同但相似的功能。

比如，在 iptables 中创建 IPv4 规则和在 ip6tables 中创建 IPv6 规则并保持两者同步是非常低效的。Nftables 旨在取代所有这些，成为一个集中的解决方案。

尽管自 2014 年以来，nftables 就被包含在 Linux 内核中，但随着采用范围的扩大，它最近越来越受欢迎。Linux 世界的变化很慢，过时的实用程序通常需要几年或更长的时间才能逐步淘汰，取而代之的是升级后的实用程序。

今天我们就简单介绍一下 nftables 和 iptables 之间的差异，并展示在新的 nftables 语法中配置防火墙规则的例子。

nftables 中的链（chains）和规则

在 iptables 中，有三个默认的链：输入、输出和转发。这三个“链”（以及其他链）包含“规则”，iptables 通过将网络流量与 链中的规则列表匹配进行工作。当正在检查的流量与所有规则都不符合时，链的默认策略（例如ACCEPT或DROP）将适用于该流量。

Nftables的工作原理与此类似，也有“链”和“规则”。然而，它一开始没有任何基础链，这使得配置更加灵活。

iptables 效率低下的一个方面是，即使流量与任何规则都不匹配，所有网络数据也必须遍历上述链中的一个或多个。即使你没有配置链路，iptables仍然会检查你的网络数据并进行处理。

在 Linux 中安装 nftables

nftables 在所有主要的 Linux 发行版中都可用，可以使用发行版的包管理器安装。

在 Ubuntu 或基于 Debian 的系统中可使用如下命令：

sudo apt install nftables

设置 nftables在系统重启的时候自动启动，可执行如下操作：

sudo systemctl enable nftables.service

iptables 和 nftables 之间的语法差异

与 iptables 相比，nftables 的语法更加简单，不过对于 iptables 中的语法，在 nftables 中也能用。

大家可使用 iptables-translate 工具，该工具接受 iptables 命令并将其转为等效的 nftables 命令，这是了解两种语法差异的一种简单方法。

使用以下命令在 Ubuntu 和基于 Debian 的发行版上安装 iptables-translate：

sudo apt install iptables-nftables-compat

安装后，你可以将 iptables 语法传递给 iptables-translate 命令，它将返回 nftables 等效命令。

下面我们看一些具体的语法示例。

阻止传入连接

下述命令将阻止来自IP地址192.168.2.1的传入连接：

$ iptables-translate -A INPUT -s 192.168.2.1 -j DROPnft add rule ip filter INPUT ip saddr 192.168.2.1 counter drop

允许传入SSH连接

放开 ssh 连接权限：

$ iptables-translate -A INPUT -p tcp --dport 22 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPTnft add rule ip filter INPUT tcp dport 22 ct state new,established counter accept

允许来自特定 IP 范围的传入SSH连接

如果只想允许来自192.168.1.0/24的传入SSH连接：

$ iptables-translate -A INPUT -p tcp -s 192.168.1.0/24 --dport 22 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPTnft add rule ip filter INPUT ip saddr 192.168.1.0/24 tcp dport 22 ct state new,established counter accept

允许MySQL连接到eth0网络接口

$ iptables-translate -A INPUT -i eth0 -p tcp --dport 3306 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPTnft add rule ip filter INPUT iifname eth0 tcp dport 3306ct state new,established counter accept

允许传入HTTP和HTTPS流量

为了允许特定类型的流量，以下是这两个命令的语法：

$ iptables-translate -A INPUT -p tcp -m multiport --dports 80,443 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPTnft add rule ip filter INPUT ip protocol tcp tcp dport { 80,443} ct state new,established counter accept

从这些例子中可以看出，nftables 语法与 iptables 非常相似，但命令更直观一些。

nftables 日志

上述nft命令示例中的“counter”选项告诉nftables统计规则被触碰的次数，就像默认情况下使用的iptables一样。

在nftables中，需要指定：

nft add rule ip filter INPUT ip saddr 192.168.2.1 counter accept

nftables内置了用于导出配置的选项。它目前支持XML和JSON。

nft export xml

# 发行版  # 的是  # 这是  # 都有  # 也有  # 是因为  # 链中  # 都不  # 就像  # 你可以 

相关栏目： 【 网站优化151355 】 【 网络推广146373 】 【 网络技术251813 】 【 AI营销90571 】

相关推荐： 零服务器AI建站解决方案：快速部署与云端平台低成本实践  动图在线制作网站有哪些,滑动动图图集怎么做？  Laravel怎么清理缓存_Laravel optimize clear命令详解  html5的keygen标签为什么废弃_替代方案说明【解答】  如何自定义safari浏览器工具栏？个性化设置safari浏览器界面教程【技巧】  网站建设要注意的标准 促进网站用户好感度！  JavaScript如何实现错误处理_try...catch如何捕获异常？  网易LOFTER官网链接 老福特网页版登录地址  Win11怎么关闭资讯和兴趣_Windows11任务栏设置隐藏小组件  Laravel如何自定义分页视图？（Pagination示例）  Mybatis 中的insertOrUpdate操作  想要更高端的建设网站，这些原则一定要坚持！  Android okhttputils现在进度显示实例代码  Laravel怎么上传文件_Laravel图片上传及存储配置  Win11搜索不到蓝牙耳机怎么办 Win11蓝牙驱动更新修复【详解】  如何在景安云服务器上绑定域名并配置虚拟主机？  Laravel如何创建自定义中间件？（Middleware代码示例）  如何在宝塔面板中修改默认建站目录？  青岛网站建设如何选择本地服务器？  Edge浏览器如何截图和滚动截图_微软Edge网页捕获功能使用教程【技巧】  如何用PHP工具快速搭建高效网站？  香港代理服务器配置指南：高匿IP选择、跨境加速与SEO优化技巧  网站制作怎么样才能赚钱,用自己的电脑做服务器架设网站有什么利弊，能赚钱吗？  如何在腾讯云免费申请建站？  如何用景安虚拟主机手机版绑定域名建站？  百度浏览器如何管理插件 百度浏览器插件管理方法  在线ppt制作网站有哪些软件,如何把网页的内容做成ppt？  武汉网站设计制作公司,武汉有哪些比较大的同城网站或论坛，就是里面都是武汉人的？  Claude怎样写约束型提示词_Claude约束提示词写法【教程】  Laravel如何使用API Resources格式化JSON响应_Laravel数据资源封装与格式化输出  php结合redis实现高并发下的抢购、秒杀功能的实例  开心动漫网站制作软件下载,十分开心动画为何停播？  打造顶配客厅影院，这份100寸电视推荐名单请查收  实例解析angularjs的filter过滤器  js实现点击每个li节点，都弹出其文本值及修改  Laravel怎么做数据加密_Laravel内置Crypt门面的加密与解密功能  Laravel怎么写单元测试_PHPUnit在Laravel项目中的基础测试入门  如何快速完成中国万网建站详细流程？  Win11怎么修改DNS服务器 Win11设置DNS加速网络【指南】  Python正则表达式进阶教程_复杂匹配与分组替换解析  如何用wdcp快速搭建高效网站？  Laravel怎么创建自己的包(Package)_Laravel扩展包开发入门到发布  laravel怎么配置和使用PHP-FPM来优化性能_laravel PHP-FPM配置与性能优化方法  标题：Vue + Vuex + JWT 身份认证的正确实践与常见误区解析  手机怎么制作网站教程步骤,手机怎么做自己的网页链接？  JavaScript如何操作视频_媒体API怎么控制播放  什么是javascript作用域_全局和局部作用域有什么区别？  Laravel如何将应用部署到生产服务器_Laravel生产环境部署流程  深入理解Android中的xmlns:tools属性  Laravel如何构建RESTful API_Laravel标准化API接口开发指南