nftables 常用命令合集

最新推荐文章于 2025-03-09 16:40:12 发布
最新推荐文章于 2025-03-09 16:40:12 发布
阅读量1.4k 收藏 11
点赞数 8
分类专栏: 运维笔记 文章标签: nftables
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37633935/article/details/136375222
版权
本文介绍了NFTables的基本命令,包括查看规则集、添加和删除规则,以及管理表、链和规则统计信息,同时提到了加载和保存配置文件的功能。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

以下是一些常用的 nftables 命令:

  1. 查看规则集:

    sudo nft list ruleset

  2. 添加规则:

    sudo nft add rule <table> <chain> <rule>

  3. 删除规则:

    sudo nft delete rule <table> <chain> <rule>

  4. 查看规则统计信息:

    sudo nft list ruleset -a

  5. 查看表信息:

    sudo nft list table <table>

  6. 查看链信息:

    sudo nft list chain <table> <chain>

  7. 清空规则集:

    sudo nft flush ruleset

  8. 加载配置文件:

    sudo nft -f /path/to/config/file

  9. 保存当前规则集到配置文件:

    sudo nft list ruleset > /path/to/config/file

这些是一些基本的 nftables 命令,您可以根据需要使用不同的选项和参数来定制规则。

nftables(2)表、链、规则查询和管理(新增、插入、修改、删除)
Monster✺◟(∗❛ัᴗ❛ั∗)◞✺的博客
07-08 2805
上面所介绍的就是nftables基本的表、链、规则的创建和管理,如果熟悉iptables的配置方式的话,那么nftables的配置逻辑理解起来还是相对比较容易的。大家可以多做实验理解表、链、规则的相关性和其互相的关系,如果不是非常清楚,可以参考iptables部分相关的文章。
nftables(6)表达式(4)使用举例
Monster✺◟(∗❛ัᴗ❛ั∗)◞✺的博客
07-12 1633
前几篇文章已经介绍了表达式的基本概念,数据类型、还有各种不同类型的表达式规则。表达式的使用方式非常复杂也非常灵活,具体怎么使用要根据自己的实际需求来确定。本篇文章主要介绍集中nftables中的策略设置,以便加深对表达式的理解。
Linux nftables 命令使用详解
tangPHP的博客
02-15 652
nftables是iptables、ip6tables、arptables和ebtables的继承者,用于管理Linux中的包过滤和网络地址转换。它提供了一种更现代、更灵活和更有效的方式来配置防火墙,取代了旧的工具。nftables在Linux内核3.13及以上版本中可用,它是nft包的一部分。用于配置nftables的主要命令行工具是nft。
nftables 入门:简洁高效的 Linux 防火墙管理
i89211的博客
03-06 1601
nftables 是 Linux 新一代防火墙框架,提供更灵活的规则管理和更高效的性能。本文简要介绍了 nftables 的核心概念与操作示例,包括表、链、规则的用法,以及如何进行规则持久化配置,帮助你快速上手并轻松实现网络流量管控。
iptables和nftables的使用
大草的博客
02-12 9263
iptables和nftables的使用
nftables基本使用规则【新手教程】
weixin_45596770的博客
06-05 2581
基本链充当来自网络堆栈的数据包的入口点。简介:规则接收按链过滤的数据包,并根据它们是否与特定条件匹配对其执行操作。必要性:数据包从头到尾通过链的规则,并在匹配并被处理时停止处理。注意点:默认 nft add rule 是将规则添加到链的末尾。简介:表是 nftables 层次结构的最高级别。注意点:添加常规链时不包含钩子关键字。注意点:nftables不附带预定义的表。以与调用基本链完全相同的方式处理数据包。可以包含跳转或转到该链的规则之后,简介:链位于表下并过滤数据包。将规则添加到链的合适位置。
OpenWrt 串口终端常用命令---拓展篇
a_zxswer的博客
03-09 147
通过以上命令拓展,可覆盖从基础操作到高级调试的广泛场景,全面提升 OpenWrt 设备管理能力。
Linux关于网络测试与调试的常用命令
最新发布
04-02
嗯,用户想了解Linux下网络测试和调试的常用命令。首先,我需要回忆一下常见的网络命令,比如ping、traceroute、netstat这些基础工具。然后,可能还需要提到更高级的如tcpdump、nmap、curl等。 用户提供的引用中有...
【Linux常用命令系列】Linux中的yum命令 - 速查表
wang2leee的博客
05-05 877
【Linux常用命令系列】Linux中的yum命令 - 速查表
openWrt firewall分析以及nftables配置方法
weixin_39580537的博客
08-09 7345
如下为firewall的uci配置文件,该配置文件位于/etc/config目录下,下图中包括了defaults、zone、forwarding三个部分;
nftables图形界面实现:nftables-gui使用ncurses开发
- **编译命令**: 提供了编译 nftables-gui 的命令,但未提供启动编译的具体执行命令,用户需要在终端中执行它们。 - **生成可执行文件**: 编译后会生成一个需要 root 权限才能运行的可执行文件,这强调了程序对系统...
Linux之实战命令50:nft应用实例(八十四)
Android系统攻城狮
10-25 1699
本篇目的:Linux之实战命令50:nft应用实例nft是 Linux 系统中用于配置、管理和监控防火墙规则的命令行工具,属于nftables框架的一部分。它是iptables的继任者,旨在简化防火墙规则的管理,并提供更高效、灵活的网络流量控制。nft提供了一种新的语法和结构,使得规则定义和管理更为直观,并且性能更好,尤其是在处理复杂的网络安全策略时。
深入理解nftables:强化你的网络安全
dmgy110的博客
09-01 6853
nftables是一个用于管理Linux内核网络堆栈的工具,它的强大之处在于其清晰而强大的配置语言,以及对多种网络协议的全面支持。与之前的iptables相比,nftables提供了更灵活、可读性更强和性能更好的解决方案。
iptables与nftables,ufw与firewalld以及netfilter详解
imtech的博客
07-09 1172
netfilter:netfilter可以理解为linux内核处理网络堆栈的一个框架,提供了钩子函数用于其它内核模块(iptables和nftables)具体实现网络数据处理方法;iptables与nftables:iptables与nftables可以理解为具有相同功能的内核模块,作用是实现了netfilter提供的钩子函数,用于真正处理网络数据包,我们称之为防火墙软件,nftables的出现是用于替换iptables;
iptables与nftables,ufw与firewalld以及netfilter详解
侯刚的博客
09-29 7895
iptables,nftables,ufw,firewalld以及netfilter详解,ufw与firewalld介绍,iptables,ufw以及firewalld与iptables的关系
Python处理nft list ruleset输出
dmgy110的博客
11-08 206
re括号嵌套匹配
NAT原理及其他相关工具简介
黑乎乎的小升
05-11 735
1 NAT原理1.1 SNAT搭建1.2 DNAT1.4 简单SNAT和DNAT搭建2 firewall2.1 firewalld-config zone 分类2.2 firewall-cmd 命令3 nft3.1 nft 命令基本格式3.2 查看3.3 创建表3.4 创建链3.5 添加规则3.6 通过ntftable来实现暴露本机80/443/ssh服务端口给指定网络访问。
【无标题】nftables 入门级干货,全无废话,句句精炼,一分钟上手,居家必备收藏秘芨
cao_ni_mei2015的博客
04-21 1291
为了研究一下nftables流量统计,花一天把nftables撸了一遍,复杂的目前没需求,简单的咱不能不会。直接上干货,句句精炼。禁止一些MAC主机联网。
nftables查看策略
03-01
<think>好的,我需要帮助用户了解如何使用nftables查看当前配置的策略。首先,用户之前询问了如何临时允许特定IP访问Docker端口,现在他们可能想确认这些规则是否生效,或者想更全面地了解他们的nftables配置。 我应该从基础命令开始,比如列出所有规则集。记得提到`nft list ruleset`这个核心命令,这会显示所有表、链和规则。用户可能需要知道如何过滤特定的表或链,例如过滤INPUT链或者DOCKER-USER链,这时候可以用`nft list chain`命令,并举例说明。 接下来,用户可能需要查看计数器信息,了解规则被匹配的次数,所以需要说明`-a`选项的作用,以及如何通过`nft reset counters`重置计数器。此外,统计流量数据也很重要,要提到`nft list ruleset`中的counter部分。 然后,用户可能想知道如何处理规则句柄,因为删除规则时需要用到。这里需要解释如何用`--handle`选项显示句柄ID,并给出示例命令。 对于不同的协议族,比如IPv4、IPv6或者inet,需要提醒用户注意,不同的表可能属于不同的协议族,所以查看时要指定正确的协议族。例如,`nft list table ip filter`和`nft list table ip6 filter`的区别。 监控实时流量可能也是用户需要的,所以介绍`nft monitor`命令,并说明如何过滤特定的事件类型,比如trace、rule等。 最后,应该给出一些查看策略的示例,比如查看所有规则、特定链、带计数器、带句柄,以及实时监控。同时,提醒用户关于Docker相关的链,如DOCKER-USER,因为用户之前的问题涉及Docker端口访问,这部分需要特别强调。 需要确保语言简洁明了,步骤清晰,命令示例正确,并且覆盖用户可能需要的各个方面。同时,注意使用中文,避免专业术语过多,必要时进行解释。</think>以下是使用nftables查看防火墙策略的详细方法: --- ### 一、基础查看命令 1. **查看完整规则集** ```bash sudo nft list ruleset ``` 输出包含所有表(table)、链(chain)、规则(rule)的完整配置 2. **查看指定表** ```bash # 查看filter表(最常用) sudo nft list table inet filter # 查看nat表 sudo nft list table ip nat ``` 3. **查看特定链** ```bash # 查看INPUT链 sudo nft list chain inet filter INPUT # 查看Docker专用链 sudo nft list chain inet filter DOCKER-USER ``` --- ### 二、高级查看技巧 1. **显示规则计数器** ```bash sudo nft list ruleset -a ``` 输出示例: ``` chain INPUT { ... ip saddr 192.168.1.100 tcp dport 32771 counter packets 12 bytes 840 accept ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ packets字段显示匹配次数,bytes显示总流量 } ``` 2. **查看规则句柄ID** ```bash sudo nft --handle --numeric list ruleset ``` 输出示例: ``` table inet filter { # handle 1 chain INPUT { # handle 2 ip saddr 192.168.1.100 tcp dport 32771 accept # handle 5 } } ``` `handle 5`表示该规则的唯一标识符,删除规则时需要 --- ### 三、流量统计查看 1. **重置计数器** ```bash sudo nft reset counters ``` 重置所有规则的packets/bytes统计 2. **查看流量排名** ```bash sudo nft list ruleset -a | grep counter | sort -k5 -nr ``` 按packets数量降序排列规则 --- ### 四、策略监控技巧 1. **实时流量监控** ```bash sudo nft monitor ``` 输出实时事件: ``` trace id 3e4813e5 inet filter INPUT packet: iif "eth0" ip saddr 192.168.1.100 tcp dport 32771 trace id 3e4813e5 inet filter INPUT rule ip saddr 192.168.1.100 tcp dport 32771 accept (verdict accept) ``` 2. **过滤监控类型** ```bash # 只看规则匹配 sudo nft monitor rule # 看连接跟踪 sudo nft monitor conntrack ``` --- ### 五、查看策略示例 ```bash # 查看Docker相关规则 sudo nft list chain inet filter DOCKER-USER -a # 查看NAT配置 sudo nft list table ip nat -a # 带编号显示INPUT链规则 sudo nft --handle --numeric list chain inet filter INPUT ``` --- ### 关键提示 1. **Docker特殊处理**:Docker默认会自动生成`DOCKER-USER`链,这是官方推荐放置自定义规则的位置 2. **配置持久化**:通过`nft list ruleset > /etc/nftables.conf`可保存当前配置 3. **策略验证顺序**:规则从上到下逐条匹配,可通过`--handle`显示的编号确认顺序 4. **日志定位**:结合`log`语句和`dmesg`查看规则触发记录: ```bash sudo nft add rule inet filter INPUT tcp dport 22 log prefix "SSH_ACCESS: " ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值