深入理解nftables:强化你的网络安全

已于 2023-09-01 16:12:24 修改
阅读量2.8k 收藏 13
点赞数 1
文章标签: 安全 linux
于 2023-09-01 16:03:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dmgy110/article/details/132625791
版权

什么是nftables?

nftables是一个用于管理Linux内核网络堆栈的工具,它的强大之处在于其清晰而强大的配置语言,以及对多种网络协议的全面支持。与之前的iptables相比,nftables提供了更灵活、可读性更强和性能更好的解决方案。

安装nftables

首先,确保你的Linux发行版支持nftables,并使用包管理器安装它。安装后,你可以使用以下命令启动nftables服务:

sudo systemctl start nftables

1. 基本概念:

  • 表(Tables):Nftables配置由表组成,表是规则的容器。有四种类型的表:filter、nat、mangle、和raw。通常,我们在filter表中配置防火墙规则。

  • 链(Chains):表包含多个链,链是规则的集合。Nftables中有五种默认链:input、output、forward、prerouting和postrouting。这些链用于不同的网络包处理阶段。

  • 规则(Rules):规则是定义如何处理网络包的指令。规则由条件(匹配条件)和操作(对匹配的包执行的操作)组成。

  • 集合(sets):集合是一种数据结构,用于存储IP地址、端口号等信息,以便在规则中引用。
    当涉及到Nftables时,理解其基本概念和语法是非常重要的。

2. 基本命令:

  • 查看规则集:使用以下命令查看当前规则集:

    sudo nft list ruleset

  • 创建新表:创建新的Nftables表,例如,创建一个新的filter表:

    sudo nft add table ip filter

  • 创建新链:在表中创建新的链,例如,创建一个新的input链:

    sudo nft add chain ip filter input { type filter hook input priority 0; }

  • 添加规则:向链中添加规则,例如,允许SSH流量:

    sudo nft add rule ip filter input tcp dport 22 accept

  • 删除规则:从链中删除规则,使用delete命令,例如:

    sudo nft delete rule ip filter input tcp dport 22 accept

  • 保存规则:将规则保存到配置文件中以便永久生效:

    sudo nft list ruleset > /etc/nftables.conf
sudo systemctl restart nftables

3. 规则语法:

  • 匹配条件:规则中的条件用于匹配网络包。条件可以包括源地址、目标地址、端口号、协议等信息。例如,ip saddr表示源地址,tcp dport表示目标端口。

  • 操作:规则中的操作定义了匹配的网络包应该如何处理,包括接受、拒绝、重定向等。例如,accept表示接受网络包。

  • 连接跟踪:Nftables支持连接跟踪,可以根据网络连接的状态进行过滤和操作。例如,ct state用于匹配连接状态。

高级nftables用法

连接跟踪

nftables可以用于创建强大的防火墙规则,其中一个关键功能是连接跟踪,允许您跟踪网络连接的状态。连接跟踪对于管理网络流量和实施安全策略非常重要。下面是一个示例规则,演示如何使用连接跟踪:

table ip my_filter {
    chain input {
        type filter hook input priority 0; policy drop;
        
        ct state new,established accept
    }
}

上述规则表明,只有新建立的连接和已建立的连接才会被接受,其他一切都会被拒绝。

端口转发:

#!/usr/sbin/nft -f

table ip my_nat {
    chain prerouting {
        type nat hook prerouting priority 0;
        tcp dport 80 redirect to :8080
    }
}

这个规则将端口80的流量重定向到本地端口8080。

限速

nftables还可以用于限制特定类型的流量速率,以防止过多的流量影响网络性能。以下是一个限速的示例规则:

table ip my_filter {
    chain input {
        type filter hook input priority 0; policy drop;

        ip saddr 192.168.1.0/24 limit rate over 1/second accept
    }
}

上述规则表示,只允许来自子网192.168.1.0/24的流量以每秒不超过1个包的速率进入。

多协议族支持

nftables支持多个协议族,包括ip、ip6、inet、arp、bridge等。您可以在不同的协议族中定义规则,以根据网络层协议类型来处理流量。下面是一个多协议族支持的示例:

table inet my_filter {
    chain input {
        type filter hook input priority 0; policy drop;
        
        ip saddr 192.168.1.0/24 accept
    }
}

table ip6 my_filter {
    chain input {
        type filter hook input priority 0; policy drop;
        
        ip6 saddr fd00::/64 accept
    }
}

上述示例中,我们创建了两个不同协议族的表,一个用于IPv4流量,一个用于IPv6流量,以分别处理它们。

共享规则和集合

要在不同协议族之间共享规则和集合,您可以使用define来定义规则或集合,然后在不同协议族的规则中引用它们。例如:

define my_ips = { 192.168.1.0/24, 10.0.0.0/24 }

table ip my_filter {
    chain input {
        type filter hook input priority 0; policy drop;
        
        ip saddr $my_ips accept
    }
}

table ip6 my_filter {
    chain input {
        type filter hook input priority 0; policy drop;
        
        ip6 saddr fd00::/64 accept
    }
}

上述示例中,我们定义了一个名为my_ips的集合,包含了一些IP地址,然后在不同协议族的规则中引用了这个集合。

Nftables中的IP集合

IP sets是一种非常有用的功能,允许你将一组IP地址组织在一起以用于规则匹配。IP集合可以用于多种目的,例如允许或拒绝一组IP地址的流量,或者用于创建更复杂的规则。

1. 创建IP集合:

要创建一个IP集合,你可以使用nft add set命令。下面是一个示例,创建一个名为my_ip_set的IP集合:

sudo nft add set ip filter my_ip_set {
    type ipv4_addr
}

这将创建一个IPv4地址类型的IP集合,并将其放置在filter表中。

2. 添加IP地址到集合:

要向IP集合添加IP地址,使用add element命令。例如,将IP地址192.168.1.100添加到my_ip_set中:

sudo nft add element ip filter my_ip_set { 192.168.1.100 }

3. 删除IP地址从集合:

要从IP集合中删除IP地址,使用delete element命令。例如,从my_ip_set中删除IP地址192.168.1.100

sudo nft delete element ip filter my_ip_set { 192.168.1.100 }

4. 使用IP集合:

将IP集合用于规则匹配是Nftables的一个强大功能。你可以在规则中使用@符号来引用IP集合。例如,创建一个规则来允许my_ip_set中的IP地址访问SSH端口:

sudo nft add rule ip filter input ip saddr @my_ip_set tcp dport 22 accept

这将允许my_ip_set中的IP地址访问SSH端口。

5. 查看IP集合:

要查看IP集合的内容,可以使用list set命令:

sudo nft list set ip filter my_ip_set

这将列出my_ip_set中包含的所有IP地址。

6. 删除IP集合:

要删除IP集合,使用delete set命令。例如,删除my_ip_set

sudo nft delete set ip filter my_ip_set

Nftables允许你创建端口集合(Port Sets)

要创建一个端口集合,你可以使用nft add set命令。下面是一个示例,创建一个名为my_port_set的端口集合:

sudo nft add set inet filter my_port_set {
    type inet_service
}

这将创建一个端口类型的端口集合,并将其放置在inet地址家族的filter表中。

2. 添加端口到集合:

要向端口集合添加端口,使用add element命令。例如,将端口号80添加到my_port_set中:

sudo nft add element inet filter my_port_set { 80 }

3. 删除端口从集合:

要从端口集合中删除端口,使用delete element命令。例如,从my_port_set中删除端口号80

sudo nft delete element inet filter my_port_set { 80 }

4. 使用端口集合:

将端口集合用于规则匹配是Nftables的一个强大功能。你可以在规则中使用@符号来引用端口集合。例如,创建一个规则来允许my_port_set中的端口号访问:

sudo nft add rule inet filter input tcp dport @my_port_set accept

这将允许my_port_set中的端口号的TCP流量通过。

5. 查看端口集合:

要查看端口集合的内容,可以使用list set命令:

sudo nft list set inet filter my_port_set

这将列出my_port_set中包含的所有端口号。

6. 删除端口集合:

要删除端口集合,使用delete set命令。例如,删除my_port_set

sudo nft delete set inet filter my_port_set

端口集合是Nftables中非常有用的功能,可用于管理和组织端口号,以更灵活地控制网络包的过滤和路由。请根据你的需求使用这些命令,并谨慎测试规则以确保网络安全性和性能。

一生为追梦
关注
  • 1
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
nftables基本使用规则【新手教程】
weixin_45596770的博客
06-05 957
基本链充当来自网络堆栈的数据包的入口点。简介:规则接收按链过滤的数据包,并根据它们是否与特定条件匹配对其执行操作。必要性:数据包从头到尾通过链的规则,并在匹配并被处理时停止处理。注意点:默认 nft add rule 是将规则添加到链的末尾。简介:表是 nftables 层次结构的最高级别。注意点:添加常规链时不包含钩子关键字。注意点:nftables不附带预定义的表。以与调用基本链完全相同的方式处理数据包。可以包含跳转或转到该链的规则之后,简介:链位于表下并过滤数据包。将规则添加到链的合适位置。
nftables-managing-script:轻型破折号脚本(bindash)通过白名单和黑名单功能管理基于nftables的防火墙
03-15
nftables-manage-script 轻巧的破折号脚本(/ bin / dash)用于管理基于nftables的防火墙,该防火墙具有定期和原子更新的白名单和黑名单。 在Debian 10(Buster)上测试。 重要的 在默认配置中,防火墙将丢弃未使用conf/whitelist.conf文件, conf/presets或conf/additional_rules.txt的预设conf/whitelist.conf所有传入流量。 您的服务器需要使用nftable而不是iptables: apt install nftables 如何使用 在以下示例中,我们将脚本文件复制到/etc/firewall : mkdir /etc/firewall/conf/presets/enabled chmod 0500 /etc/firewall/*.sh chmod 0500 /etc
nftables 常用命令合集
wlzx059的博客
02-29 524
命令,您可以根据需要使用不同的选项和参数来定制规则。
gonft:nftables Go 包装器
07-13
贡夫特 Linux nftables 的高级接口,支持从 Go 代码对 nftables 进行基本操作 注意:这是目前的概念验证,尚未准备好实际使用 要求 库文件 libmnl 包含 nf_tables 子系统的 linux 内核 (>= 3.14) 示例用法 看看
Gnu_Linux系统nftables防火墙的本地IPS能力部署.pdf
09-06
Gnu_Linux系统nftables防火墙的本地IPS能力部署.pdf
python3-nftables-0.9.3-23.el8.x86_64.rpm
01-21
官方离线安装包,测试可用。请使用rpm -ivh [rpm完整包名] 进行安装
iptables和nftables的使用
大草的博客
02-12 5365
iptables和nftables的使用
nftables
weixin_33843409的博客
04-29 1787
nftables 也有表、规则链、规则的概念: 表是规则链的容器 表有几个family: ip/ip6/inet/arp/bridge/netdev; inet=ip和ip6的混合 链是规则的容器 基本链的类型有: filter: 支持ip/ip6/inet/arp/bridge;不支持netdev(好像能支持?) rout...
linux nftables简介和基础操作
weixin_34356138的博客
11-27 1259
一、什么是nftables? nftables 是新的数据包分类框架,新的linux防火墙管理程序,旨在替代现存的 {ip,ip6,arp,eb}_tables。简而言之: 它在 Linux 内核版本高于 3.13 时可用。 它有一个新的命令行工具 ntf,它的语法与 iptables 不同。 它也包含了一个兼容层,让你在新的 nftab...
nftables相比iptables到底改变了什么
热门推荐
Netfilter
01-07 3万+
这不是一篇教你怎么可以配置nftables实现一个哪怕最简单防火墙的文章,我从来不写这种Howto,因为我觉得如果一项新技术,一个人连其本身的文档都懒得看,即便没有文档如果没有一点钻研精神将其搞懂,只靠看别人写好的Step by step的话,那真是太失败了。相反,这篇文章是一篇檄文,只为吹擂打鼓,目的是让你在无感于iptables的前提下爱上nftables。------------------
nftables基础与实践
本博客暂停使用
06-30 2601
@[TOC](nftables应用与实践(一) 基础) 鉴于之前的小项目的缺点,以及对比iptables(ipset)、nftables、ebpf-iptables后,敲定过滤网络数据包的底层工具还是选用nftables而不是iptables+ipset。 理由: ebpf很优秀,但需要C编程,开发效率低下;golang库小众年久失修; 红帽自己的iptables和ipset替代方案nftables纳入考虑;而且有golang的比较成熟的库; iptables+ipset,优点是只需要熟悉一下ipset,
python3-nftables-0.9.3-18.el8.x86_64.rpm
01-21
官方离线安装包,测试可用。请使用rpm -ivh [rpm完整包名] 进行安装
nftables:Ansible角色,用于管理Nftables规则和程序包
05-13
耐用品 概述 管理Nftables规则和程序包的角色。 受到(3级规则定义和模板)的高度启发,谢谢! 我希望我没有使他的哲学复杂化……(我很确定,我现在确实使它复杂化了:D)^^ 角色变量 nft_enabled :启用或禁用对Nftable的支持[默认值: true ]。 nft_pkg_state :新的nftables软件包的状态[默认: present ]。 nft_old_pkg_list :要删除的无用软件包的列表(例如Iptables,…)[默认值: iptables ]。 nft_old_pkg_state :旧程序包的状态[默认: absent ]。 nft_old_pkg_manage :如果旧的软件包应使用此角色进行管理[default: true ]。 nft_conf_dir_path :用于存储差异Nftables配置文件的目录[默认值: /etc/
nfproxy:基于nftables的kubernetes代理
05-28
基于nftables的kubernetes代理功能目标nfproxy的目标是提供同时支持ipv4和ipv6的高性能和可扩展的kubernetes代理。 就功能而言,nfproxy不是kube-proxy(iptables)的1:1副本。 如果nfproxy违反了nfproxy的设计原则...
跨境电商测评攻略:如何安全有效地提升业绩?
zcwz888的博客
04-23 406
但自养号需要解决技术层面的问题,如果是买设备或者软件这种,可能上一秒还能用,下一秒就因为平台风控的原因批量封号,因为平台会通过ip 获取到设备的型号,地区码,监管码,主板码,WIFI地址,甚至是颜色,指纹码,IP地址等等大概几十个参数,参数关联后,触发平台机审,导致的砍单,封号。这时候要好好规划一下测评的事情,做美客多到最后你会发现,测评是最有效果的,因为测评的本质就是玩弄流量,模仿用户的真实行为让流量变得更多,从而得到跨境电商平台规则的加成,竞争激烈的产品不测评和别人竞争。
网络安全实训Day16
最新发布
Yisitelz的博客
04-26 646
网络空间安全第16天学习笔记。漏洞扫描;内网渗透
4.3 海思SS928开发 - uboot开发 - 非安全启动镜像制作
luohaha66的博客
04-23 354
上电,启动GSL,启动uboot,引导内核启动。
第25天:安全开发-PHP应用&文件管理&包含&写入&删除&下载&上传&遍历&安全
IceCream的博客
04-22 966
【代码】第25天:安全开发-PHP应用&文件管理&包含&写入&删除&下载&上传&遍历&安全
百度安全多篇议题入选Blackhat Asia以硬技术发现“芯”问题
Baidu_Secrity的博客
04-24 629
因此,跨缓存攻击的效率直接决定了安卓上众多基于堆栈的漏洞利用成功率。结合这些漏洞,议题依次分析了四种威胁模型中的典型漏洞案例,并介绍了Netlink相关漏洞的验证和利用方法,最后为厂商使用Netlink提供了最前沿的安全建议。百度安全是百度公司旗下以AI为核心打造的安全品牌,基于百度各业务线全技术栈的安全实践总结,在基础安全、数据安全、业务安全、车与IoT安全打造四大产品矩阵,面向行业和合作伙伴输出安全产品与行业一体化解决方案,在智能制造、智慧能源、智慧政务、智慧金融、智能汽车等领域已有丰富实践。
关闭nftables
09-08
关闭nftables是通过停止nftables服务来完成的。以下是一种简单的方法来关闭nftables: 首先,以管理员身份登录操作系统。 然后,打开终端或命令提示符。 在Linux上,使用以下命令停止nftables服务: sudo systemctl stop nftables 在某些旧版本的Linux上,可以使用以下命令来停止nftables服务: sudo service nftables stop 这将停止正在运行的nftables服务,从而关闭nftables防火墙。 要确保nftables服务不会在系统重启时自动启动,请使用以下命令: sudo systemctl disable nftables 或者,如果你使用的是旧版本的Linux,请使用以下命令: sudo update-rc.d -f nftables remove 这样,nftables将不会在下次系统启动时自动启动。 关闭nftables后,系统将恢复到默认的防火墙设置,可能是iptables。如果你想使用其他防火墙软件,请确保它已经安装并正确配置。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值