再说一点nftables

最新推荐文章于 2024-04-21 11:43:25 发布
最新推荐文章于 2024-04-21 11:43:25 发布
阅读量8.1k 收藏 4
点赞数 3
文章标签: nftables Netfilter
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dog250/article/details/60267161
版权
在文章《 nftables相比iptables到底改变了什么》中,我提到说nftables是一门编程语言,这个说法可能有点过于激进,随后收到了很多的邮件来咨询详情,昨天也有人提到了类似的问题,以下这个疑问比较典型:




所以说有必要针对此再说两句。首先,nftables包含一整套的逻辑,包括用户态nftables程序,内核态的Netfilter nft模块以及用户输入的nftables命令。三者关系如下:




如果你对nftables整套机制有足够的了解,那么不难看出,这里Netfilter nft模块负责执行“指令”,这些指令完全是由操作码和操作数构成的,非常类似Java字节码或者直接的机器指令,也就是说,Netfilter nft模块就是一个虚拟的处理器,只负责执行“ntf指令构成的程序”,至于说这个指令序列是谁喂给它的,Netfilter nft模块并不关心。有了Netfilter nft模块就好比你有了一台电脑或者一个Java虚拟机环境,要想它运转起来,需要喂给它指令序列,类似下面的这样的助记:
fetch ireg1 offset 12
cmp ireg1 0xff
je #1
...
此时,你有两个选择:
1.直接编辑二进制指令序列,然后作为buffer将其通过Netlink灌入内核的Netfilter nft模块。
2.通过一个通用的“编译器”,编辑一个“可读的程序”,交给编译器编译成二进制指令码序列,再灌入内核。
很显然,第1种方式类似20世纪50,60年代对机器编程的方式,后来就有了C语言,Java语言等等,人们几乎就接触不到指令了,显然对于nftables而言,由于其刚刚起步,印象中它也要经过一个类似的过程?其实是不必的。
        nftables天生携带了一个“编译器”,就是nftables用户态程序。这个程序会帮你把你输入的nftables命令翻译成二进制指令序列并灌入内核。不过值得一提的是,这个nftables编译器非常初级,能应对的情况比较少,仅限于nftables当年的manual所给出的那些功能。但是理论上,你可以抛弃nftables用户态程序或者对其进行修改,实现一个完整的nftables编译程序:




它的输入是C语言语法的代码,输出是Netfilter nft的指令序列,按此来讲,你用C语言写一个树匹配,还难吗?
        不过以上的只是一个愿景,本文连同前面的那篇文章呢也属于软文系列,目的只是提供一种可能性,一种思路,至于说实现,至少目前来讲,我是没有这个时间和精力的。也希望如果谁有这个打算,我们可以一起来。
dog250
关注
  • 3
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Centos7.5使用hostapd + dhcpd + nftables搭建Linux热点(AP)
Hase9awaTa1z0u
01-14 879
Centos7.5使用hostapd + dhcpd + nftables搭建Linux热点(AP)Centos7.5使用hostapd + dhcpd + nftables搭建Linux热点(AP)前言1、先看硬件是否支持AP2、安装hostapd + dhcpd + nftables3、整体逻辑4、配置4.1、配置hostapd4.2、使用 nmcli 托管无线网卡4.3、为无线网卡配置ip4.4、配置dhcp4.5、使用nftables配置网络规则5、启动顺序6、遇到的~~问题~~6.1、hostap
nftables code
10-13
nftables代码详解】 nftables是一种在Linux内核中用于网络过滤和包处理的框架,它替代了传统的iptables,提供了更强大、更灵活的规则集和数据结构。nftables的核心理念是将网络流量管理和规则定义变得更加模块化...
nftables-simple-firewall
feiyu5323的专栏
05-26 624
导航 (返回顶部) 1. 简单的防火墙 2. Typical workstation (separate IPv4 and IPv6) 3. 编辑规则 4. 停用iptables及ip6tables, 启动nftables. 5. 更多链接 1. 简单的防火墙 2. Typical workstation (separate IPv4 and IPv6) 3. 编辑规则 4. 停...
【无标题】nftables 入门级干货,全无废话,句句精炼,一分钟上手,居家必备收藏秘芨
最新发布
cao_ni_mei2015的博客
04-21 793
为了研究一下nftables流量统计,花一天把nftables撸了一遍,复杂的目前没需求,简单的咱不能不会。直接上干货,句句精炼。禁止一些MAC主机联网。
nftables基本使用规则【新手教程】
weixin_45596770的博客
06-05 1353
基本链充当来自网络堆栈的数据包的入口点。简介:规则接收按链过滤的数据包,并根据它们是否与特定条件匹配对其执行操作。必要性:数据包从头到尾通过链的规则,并在匹配并被处理时停止处理。注意点:默认 nft add rule 是将规则添加到链的末尾。简介:表是 nftables 层次结构的最高级别。注意点:添加常规链时不包含钩子关键字。注意点:nftables不附带预定义的表。以与调用基本链完全相同的方式处理数据包。可以包含跳转或转到该链的规则之后,简介:链位于表下并过滤数据包。将规则添加到链的合适位置。
iptables命令_Linux防火墙之iptables和nftables有什么区别?
weixin_39847099的博客
11-18 805
请关注本头条号,每天坚持更新原创干货技术文章。如需学习视频,请在微信搜索公众号“智传网优”直接开始自助视频学习1. 前言在本文中,我们将讨论nftables和iptables之间的区别,并展示在新的nftables语法中配置防火墙规则的示例。每个Linux管理员肯定都使用过iptables,这是一个长期存在的Linux防火墙,多年来为我们提供了良好的服务。但是您可能还不熟悉nftables,它是一...
Netfilter/iptables的一些新进展
互联网
06-15 170
关注了一下Netfilter的最新进展,新东西还真不少哇!但是最让人心动的有两个。 一.新的bpf模块基于Linux kernel 3.9版本的patch是xt_bpf的支持,对应的iptables模块是libxt_bpf,这个在iptables-1.4.19版本中已经支持,顾名思义,bpf其实就是伯克利包过滤的缩写,对于它的描述,参见《BPF(BSD Packet Filter)--应用和理念...
nfproxy:基于nftables的kubernetes代理
05-28
基于nftables的kubernetes代理功能目标nfproxy的目标是提供同时支持ipv4和ipv6的高性能和可扩展的kubernetes代理。 就功能而言,nfproxy不是kube-proxy(iptables)的1:1副本。 如果nfproxy违反了nfproxy的设计原则...
nftables-gui:使用 ncurses 用 c 编写的 nftables 的图形界面
06-05
nftables-gui nftables-gui 是 nftables [1] 的图形界面,使用 ncurses 用 c 编写,方便 nft 工具的使用。 它是最终学位项目的一部分,因此将遵循该软件的状态 整个学年 14/15 一直持续到 6 月。 这并不是说以后...
gonft:nftables Go 包装器
07-13
Linux nftables 的高级接口,支持从 Go 代码对 nftables 进行基本操作 注意:这是目前的概念验证,尚未准备好实际使用 要求 库文件 libmnl 包含 nf_tables 子系统的 linux 内核 (>= 3.14) 示例用法 看看
nftables-源码.rar
10-10
nftables-源码.rar
让 Linux 防火墙新秀 nftables 为你的 VPS 保驾护航
云原生实验室
12-19 749
点击 "阅读原文" 可以获得更好的阅读体验。前言上篇文章 给大家介绍了 nftables 的优点以及基本的使用方法,它的优点在于直接在用户态把网络规则编译成字节码,然后由...
iptables与nftables,ufw与firewalld以及netfilter详解
侯刚的博客
09-29 3969
iptables,nftables,ufw,firewalld以及netfilter详解,ufw与firewalld介绍,iptables,ufw以及firewalld与iptables的关系
hostapd + dhcpd + nftables 在 CentOS 7 上开 WLAN 热点
weixin_42005559的博客
07-23 769
文章内容来自于:https://www.jianshu.com/p/d1616623cf35 因为 NetworkManager 的开热点功能太废柴,所以只好另辟蹊径。 首先介绍一下这三款软件 hostapd : 至今为止用得最广泛的无线热点程序,稳定而强大,几乎你能想到的无线路由器都在使用它。 dhcpd : 强大的 DHCP 服务器(动态主机服务),适合用于管理多个大型网络的主机地址自动分配。...
iptables vs nftables, using firewall-cmd
bdss58的专栏
01-10 736
最近用 firewall-cmd 做一些网络问题上的实验,困惑于本后的工作原理。做了一些quick search,整理一些文章,当作以后备忘吧。 https://medium.com/@iced_burn/compare-firewalld-iptables-nftables-netfilter-de08a8d21b5b https://ungleich.ch/en-us/cms/blog/2018/08/18/iptables-vs-nftables/#:~:text=IPtables%20is%20ab
【kernel exploit】CVE-2022-34918 nftables 堆溢出漏洞利用(list_head任意写)
panhewu9919的博客
07-26 2036
CVE-2022-34918 nftable堆溢出漏洞利用(list_head任意写)
iptables和nftables的使用
大草的博客
02-12 6263
iptables和nftables的使用
继iptables之后的新一代包过滤框架是nftables
热门推荐
Netfilter
11-26 1万+
夜已深然未央,准备接着讲述有关Netfilter的故事,行文有点松散,由于未打草稿,有点随意识而流,一气呵成不知是自夸还是自嘲,权当小时候写的日记吧,自幼喜欢每天写日记,中学时更是以退士为名折腾了几箱子抄本,前几年由于喝酒就改为周记了,现在意识到了生命短暂,时间甚是不够用,不能在迷迷糊糊中得过且过,就准备把自己知道的关于Linux网络的东西一点一滴记录下来,本来想继续行文于纸上,然而发现在个人电脑
关闭nftables
09-08
关闭nftables是通过停止nftables服务来完成的。以下是一种简单的方法来关闭nftables: 首先,以管理员身份登录操作系统。 然后,打开终端或命令提示符。 在Linux上,使用以下命令停止nftables服务: sudo systemctl stop nftables 在某些旧版本的Linux上,可以使用以下命令来停止nftables服务: sudo service nftables stop 这将停止正在运行的nftables服务,从而关闭nftables防火墙。 要确保nftables服务不会在系统重启时自动启动,请使用以下命令: sudo systemctl disable nftables 或者,如果你使用的是旧版本的Linux,请使用以下命令: sudo update-rc.d -f nftables remove 这样,nftables将不会在下次系统启动时自动启动。 关闭nftables后,系统将恢复到默认的防火墙设置,可能是iptables。如果你想使用其他防火墙软件,请确保它已经安装并正确配置。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值