Nftables代替iptables

最新推荐文章于 2024-07-09 12:59:07 发布
最新推荐文章于 2024-07-09 12:59:07 发布
阅读量3.5k 收藏 4
点赞数
分类专栏: P2P

== 防火墙简述 ==

新的防火墙子系统/包过滤引擎 Nftables 将在 Linux 3.13 中替代有十多年历史的iptables。iptables/netfilter在2001年加入到2.4内核中。诞生于2008年的 NFTables 设计替代 iptables, 它提供了一个更简单的kernel ABI,减少重复代码,改进错误报告,更有效的支持过滤规则。除了iptables,NFTables还将替代ip6tables、arptables和 ebtables。Linux内核的第一代包过滤机制是ipfwadm(1.2.1内核,1995年),之后是ipchains(1999年),Netfilter,Nftables是第四代。

== iptables基础 ==

Netfilter/IPTables是继2.0.x的IPfwadm、2.2.x的IPchains之后,新一代的Linux防火墙机制。Netfilter采用模块化设计,具有良好的可扩充性。其重要工具模块IPTables连接到Netfilter的架构中,并允许使用者对数据报进行过滤、地址转换、处理等操作。 
Netfilter提供了一个框架,将对网络代码的直接干涉降到最低,并允许用规定的接口将其他包处理代码以模块的形式添加到内核中,具有极强的灵活性。

Netfilter/IPTables的体系结构可以分为三个大部分:

  • Netfilter的HOOK机制 
    Netfilter的通用框架不依赖于具体的协议,而是为每种网络协议定义一套HOOK函数。这些HOOK函数在数据报经过协议栈的几个关键点时被调用,在这几个点中,协议栈将数据报及HOOK函数标号作为参数,传递给Netfilter框架。 
    对于它在网络堆栈中增加的这些HOOK,内核的任何模块可以对每种协议的一个或多个HOOK进行注册,实现挂接。这样当某个数据报被传递给Netfilter框架时,内核能检测到是否有任何模块对该协议和HOOK函数进行了注册。若注册了,则调用该模块的注册时使用的回调函数,这样这些模块就有机会检查、修改、丢弃该数据报及指示Netfilter将该数据报传入用户空间的队列。 
    这样,HOOK提供了一种方便的机制:在数据报通过Linux内核的不同位置上截获和操作处理数据报。
  • IPTables基础模块 
    IPTables基础模块实现了三个表来筛选各种数据报,具体地讲,Linux2.4内核提供的这三种数据报的处理功能是相互间独立的模块,都基于Netfilter的HOOK函数和各种表、链实现。这三个表包括:filter表,nat表以及mangle表。
  • 具体功能模块 
    数据报过滤模块 
    连接跟踪模块(Conntrack) 
    网络地址转换模块(NAT) 
    数据报修改模块(mangle) 
    ** 其它高级功能模块

== iptables 的启动停止 ==

ubuntu中启动及关闭iptables,在ubuntu中由于不存在 /etc/init.d/iptales文件,所以无法使用service等命令来启动iptables,需要用modprobe命令。

=== 启动iptables ===

modprobe ip_tables
 iptable-restore /etc/iptables.rule

=== 关闭iptables ===

iptables -F
iptables -X
iptables -Z
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
modprobe -r ip_tables

=== 命令基本格式 === 
iptables 语法分成三部分:

命令本身            条件准则            处置方式
iptables -A INPUT  -p tcp --dport 22   -j ACCEPT
  • 列出当前iptables的策略和规则 

    iptables -L      # –list 列出当前所有table的配置规则

    iptables -L -n   # -n: 用数字形式显示

    iptables -L -v   # -v: 打印详细的信息

iptables -F # 清除规则 
iptables -X # 

  1. 允许已经建立的连接接收数据

iptables -A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT

  1. 开放端口22(SSH的默认端口),您要告诉iptables允许接受到的所有目标端口为22的TCP报文通过

iptables -A INPUT -p tcp -i eth0 –dport ssh -j ACCEPT

注:ssh代表22,可以在/etc/services中查到的服务都可以这样使用。

  1. 添加策略。策略也是一种规则,当所有规则都不匹配时,使用链的“策略”

链:INPUT, PREROUTING, FORWARD, POSTROUTING, OUTPUT

链策略的默认值是:ACCEPT。

表:filter (默认),nat,mangle。

iptables -P INPUT DROP

iptables -P OUTPUT ACCEPT

iptables -P FORWARD DROP

root@patrick :~# iptables -L -n

Chain INPUT (policy DROP)

target prot opt source destination

ACCEPT icmp – 0.0.0.0/0 0.0.0.0/0

ACCEPT tcp – 0.0.0.0/0 0.0.0.0/0 tcp dpt:22

Chain FORWARD (policy DROP)

target prot opt source destination

Chain OUTPUT (policy ACCEPT)

target prot opt source destination

ACCEPT tcp – 0.0.0.0/0 0.0.0.0/0 tcp spt:22

  1. 启动包转发功能

将内网的FTP请求转发到外网的一个主机上。

iptables -t nat -A PREROUTING -p tcp -dport 21 -j DNAT –to-dest 10.25.1.7:21

查看:

iptables -L -t nat

要实现包转发,还需要编辑内核参数。

cat /proc/sys/net/ipv4/ip_forward

0

默认包转发是禁止的。于是需要打开。编辑/etc/sysctl.conf,然后执行sysctl -p。 
(三)保存iptables的规则

step 1) 保存当前iptables的规则到文件中。

iptables-save > /etc/iptables.up.rules

step 2) 开机恢复iptables的规则。方法是添加下面这行到文件‘/etc/network/interfaces/’ 的末尾。

pre-up iptables-restore < /etc/iptables.up.rules

(四)禁用防火墙

iptables -F

似乎Ubuntu中没有类似service iptables stop这样的命令来暂停iptables。只能使用这种方法来禁用iptables(防火墙)。

使用前,请保证规则已经备份在文件中。

==== ufw 的基本使用 ==== 
Ubuntu发行版中,默认没有iptabes服务脚本程序,但是附带一个基于iptables防火墙配置工具:ufw。 
ufw的好处是

sudo ufw enable       #启用ufw
sudo ufw disable      #禁用ufw

开启/关闭防火墙 (默认设置是’disable’)

  • ufw enable|disable 
    转换日志状态
  • ufw logging on|off 
    设置默认策略 (比如 “mostly open” vs “mostly closed”)
  • ufw default allow|deny 
    许 可或者屏蔽某些入埠的包 (可以在“status” 中查看到服务列表[见后文])。可以用“协议:端口”的方式指定一个存在于/etc/services中的服务名称,也可以通过包的meta-data。 ‘allow’ 参数将把条目加入 * 
    /etc/ufw/maps ,而 ‘deny’ 则相反。基本语法如下:
  • ufw allow|deny [service] 
    显示防火墙和端口的侦听状态,参见 /var/lib/ufw/maps。括号中的数字将不会被显示出来。
  • ufw status 
    UFW 使用范例: 
    允许 53 端口
  • sudo ufw allow 53 
    禁用 53 端口
  • sudo ufw delete allow 53 
    允许 80 端口
  • sudo ufw allow 80/tcp 
    禁用 80 端口
  • sudo ufw delete allow 80/tcp 
    允许 smtp 端口
  • sudo ufw allow smtp 
    删除 smtp 端口的许可
  • sudo ufw delete allow smtp 
    允许某特定 IP
  • sudo ufw allow from 192.168.254.254 
    删除上面的规则
  • sudo ufw delete allow from 192.168.254.254

问题跟踪记录

表象

ping notify.alipay.com
PING notify.alipaydns.com (110.75.146.45) 56(84) bytes of data.
64 bytes from host-45.alipay.com (110.75.146.45): icmp_req=1 ttl=246 time=24.8 ms
64 bytes from host-45.alipay.com (110.75.146.45): icmp_req=2 ttl=246 time=24.8 ms
64 bytes from host-45.alipay.com (110.75.146.45): icmp_req=3 ttl=246 time=24.8 ms
ping: sendmsg: Operation not permitted
ping: sendmsg: Operation not permitted
ping: sendmsg: Operation not permitted

tail -f /var/log/syslog

69007 Feb 25 15:11:03 localhost kernel: [14435794.720444] nf_conntrack: table full, dropping packet
69008 Feb 25 15:11:03 localhost kernel: [14435794.720541] nf_conntrack: table full, dropping packet

调大如下参数,后来现象消失

  • /proc/sys/net/netfilter/nf_conntrack_max
  • /sys/module/nf_conntrack/parameters/hashsize

参考

  1. http://my.oschina.net/kisops/blog/150995
  2. http://www.2cto.com/Article/201206/136644.html
yazhouren
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
iptables 详解iptables 详解
12-02
iptables 详解
linux下iptables手册
01-18
iptables手册
CentOS服务器iptables晋级教程
完颜振江
02-05 551
升级 CentOS 服务器上的 iptablesnftables 是一个相当复杂的过程,因为 nftables 是一种全新的网络过滤框架,与传统的 iptables 不同。nftables 与 iptables 语法有所不同,因此您需要修改现有的 iptables 规则以适应 nftables。在加载新的 nftables 配置之后,确保您的服务器仍然能够正常工作,并且所有预期的网络流量都被正确地允许或拒绝。创建一个新的 nftables 配置文件,并在其中定义您的防火墙规则。
Linux 内核将用 Nftables 替代 iptables
佀云鹰的专栏
10-22 1187
新的防火墙子系统/包过滤引擎 Nftables 将在 Linux 3.13 中替代有十多年历史的iptablesiptables/netfilter在2001年加入到2.4内核中。诞生于2008年的 NFTables 设计替代 iptables, 它提供了一个更简单的kernel ABI,减少重复代码,改进错误报告,更有效的支持过滤规则。除了iptablesNFTables还将替代ip6ta
iptablesnftables,ufw与firewalld以及netfilter详解
最新发布
imtech的博客
07-09 183
netfilter:netfilter可以理解为linux内核处理网络堆栈的一个框架,提供了钩子函数用于其它内核模块(iptablesnftables)具体实现网络数据处理方法;iptablesnftables:iptablesnftables可以理解为具有相同功能的内核模块,作用是实现了netfilter提供的钩子函数,用于真正处理网络数据包,我们称之为防火墙软件,nftables的出现是用于替换iptables;
linux内核将用BPF替代iptables
限量发行的专栏
04-06 3800
Linux内核社区最近发布了bpfilter,一个使用Linux BPF提供的高性能网络过滤内核模块, 用来替代netfilter作为iptables的长期支持的内核底层的实现,实现Linux用户的无痛向BPF过渡的换心手术。 BPF(Berkeley Packet Filter)可能我们比较生疏,但是我说起tcpdump、Wireshark等流行的网络抓包和分析工具你一定听说并可能使用...
Linux内核将用Nftables替代iptables
weixin_33968104的博客
04-13 288
新的防火墙子系统/包过滤引擎Nftables将在 Linux 3.13 中替代有十多年历史的iptablesiptables/netfilter在2001年加入到2.4内核中。诞生于2008年的NFTables设计替代iptables,它提供了一个更简单的kernel ABI,减少重复代码,改进错误报告,更有效的支持过滤规则。除了iptablesNFTables还将替代i...
kube-proxy开启ipvs代替iptables
Reboot的博客
09-10 9956
从kubernetes1.8版本开始,新增了kube-proxy对ipvs的支持,并且在新版的kubernetes1.11版本中被纳入了GA。 iptables模式问题不好定位,规则多了性能会显著下降,甚至会出现规则丢失的情况;相比而言,ipvs就稳定的多。 这里使用的kubernetes版本为1.10.3,可以参考https://blog.csdn.net/shihao99/article/...
nftables相比iptables到底改变了什么
热门推荐
Netfilter
01-07 3万+
这不是一篇教你怎么可以配置nftables实现一个哪怕最简单防火墙的文章,我从来不写这种Howto,因为我觉得如果一项新技术,一个人连其本身的文档都懒得看,即便没有文档如果没有一点钻研精神将其搞懂,只靠看别人写好的Step by step的话,那真是太失败了。相反,这篇文章是一篇檄文,只为吹擂打鼓,目的是让你在无感于iptables的前提下爱上nftables。------------------
iptables手册.pdf
08-15
适用于内外网,物理机环境对安全要求严格,文章描述清除,浅显易懂 带有图片描述不至于过于枯燥
iptables-1.4.21
11-24
centos7离线安装iptablesiptables-1.4.21-34.el7.x86_64.rpm和iptables-services-1.4.21-34.el7.x86_64.rpm
iptables和firewall的区别
04-29
### iptables与firewalld的区别 #### 一、工作原理及机制差异 1. **iptables的工作方式**:作为Linux系统中广泛使用的静态防火墙工具,iptables在修改规则时会清空现有的规则库,并重新加载存储在`/etc/sysconfig/...
Centos离线安装iptables.docx
04-15
### Centos离线安装iptables详解 #### 一、前言 在CentOS系统中,iptables是用于设置网络规则的重要工具之一。然而,在某些情况下,由于网络环境限制或安全考虑,我们可能无法通过在线方式安装iptables。本文将...
linux iptables介绍
07-15
linux iptables介绍
iptables.docx
06-22
iptables.docx
centos7 iptables
03-07
iptables-1.4.21-35.el7.x86_64.rpm iptables-services-1.4.21-35.el7.x86_64.rpm
iptables恢复默认_从 iptables 过渡到 nftables
weixin_39638708的博客
11-29 937
(给Linux爱好者加星标,提升Linux技能)编译:linux中国-lujun9972,作者:Vijay Marcel Dhttps://linux.cn/article-11513-1.html当前,有一个与 nftables 兼容的 iptables-nft 后端,但是很快,即使是它也不再提供了。另外,正如 Red Hat 开发人员所指出的那样,有时它可能会错误地转换规则。我们需要...
iptables命令_Linux防火墙之iptablesnftables有什么区别?
weixin_39847099的博客
11-18 822
请关注本头条号,每天坚持更新原创干货技术文章。如需学习视频,请在微信搜索公众号“智传网优”直接开始自助视频学习1. 前言在本文中,我们将讨论nftables和iptables之间的区别,并展示在新的nftables语法中配置防火墙规则的示例。每个Linux管理员肯定都使用过iptables,这是一个长期存在的Linux防火墙,多年来为我们提供了良好的服务。但是您可能还不熟悉nftables,它是一...
linux nftables简介和基础操作
weixin_34356138的博客
11-27 1325
一、什么是nftables? nftables 是新的数据包分类框架,新的linux防火墙管理程序,旨在替代现存的 {ip,ip6,arp,eb}_tables。简而言之: 它在 Linux 内核版本高于 3.13 时可用。 它有一个新的命令行工具 ntf,它的语法与 iptables 不同。 它也包含了一个兼容层,让你在新的 nftab...
nftables和iptables
06-02
nftables和iptables都是用来管理Linux防火墙规则的工具。它们都可以过滤网络流量、防止恶意攻击和保护网络安全。 nftables是iptables的替代品,自Linux内核3.13版本起就被引入了。相比iptablesnftables提供了更加灵活的语法、更高效的规则引擎和更好的扩展性。另外,nftables还支持网络地址转换(NAT)和网络流量分类(QoS)等高级功能。 虽然nftables已经成为了Linux内核的一部分,但iptables在目前仍然被广泛使用,并且有着丰富的社区支持和文档资料。因此,两者都是管理Linux防火墙规则的有效工具,具体使用取决于个人需求和偏好。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值