nftables配置参考资料.docxVIP

nftables配置一、概述nftables包过滤框架历史小解：/dog250/article/detailsdog250/article/detailsftables配置详解：/wiki-nftables/index.php/Main_Page此文档的内容是根据上面的nftables配置详解的链接进行翻译整理的，有些地方可能有错误，对于有问题的地方，可以去上面的英文网站查询，同时对于一些不需要了解的内容，在文中只给出了链接。nftables配置分为表、链、规则三个层次，示例如下：table ip filter//表{ chain input//链{ type filter hook input priority 0;//规则 } chain output//链{ type filter hook output priority 0; //规则 ip daddr counter packets 0 bytes 0;//规则 }}二、基本操作2.1、配置表2.1.1、删除表使用命令：% nft delete table ip foo功能说明：删除整个表其他备注：上述命令适用于内核版本3.18及其之后的版本，但是，在此之前的版本，你需要先删除它的内容，否则你讲遇到类似下面这样的错误提示：% nft delete table filtercmdline:1:1-19: Error: Could not delete table: Device or resource busydelete table filter2.1.2、flush表使用命令：% nft flush table ip filter功能说明：删除属于ip filter表的所有规则其他备注：这将删除你注册在这个表中每条链所有的规则2.2、配置链在iptables中，你附加你的链。然而，与iptables模式操作相反，nftables基础结构没有预定义链，因此您需要首先注册您的基础链，然后才能添加任何规则。这允许非常灵活的配置。2.2.1、添加基础链添加基础链的语法如下：% nft add chain [family] table-name chain-name { type type hook hook priority value \; }基础链是注册到Netfilter钩子中的那些，即。这些链看到通过您的Linux TCP / IP堆栈的数据包。以下示例显示如何通过以下命令向foo表添加新基础链：% nft add chain ip foo input { type filter hook input priority 0 \; }重要：如果从bash运行此命令，则必须转义分号。此命令注册输入链，它附加到输入钩子，因此它将看到寻址到本地进程的数据包。优先级很重要，因为它决定了链的顺序，因此，如果你在输入钩子有几个链，你可以决定哪一个在另一个之前看到的数据包。如果你想使用nftables来过滤桌面Linux计算机的流量，即。一台不转发流量的计算机，也可以注册输出链：% nft add chain ip foo output { type filter hook output priority 0 \; }现在，您可以筛选传入（定向到本地进程）和传出（由本地进程生成）流量。重要说明：如果不包括大括号中指定的规则配置，则创建的非基本规则将不会看到任何数据包（类似于iptables -N chain-name）。对于nftables 0.5，您还可以像iptables中一样指定基本规则的默认策略：% nft add chain ip foo output { type filter hook output priority 0 \; policy accept\; }在iptables中，两个可能的默认策略是接受（accept）和删除（drop）。在入口钩上添加规则时，必须指定规则将要连接的设备：% nft add chain netdev foo dev0 filter { type filter hook ingress device eth0 priority 0 \; }2.2.2、基本链类型可能的规则类型是：①filter：这显然是用来过滤数据包。 这是由arp，bridge，ip，ip6和inet表系列支持的。②route：如果任何相关的IP报头字段或数据包标记被修改，用于重新路由数据包。 如果你熟悉iptables，这个链类型为mangle表提供了等价的语义，但只为输出钩子（对于其他钩子使用类型过滤器）。 这由ip和ip6表系列支持。③nat：用于执行网络地址转换（NAT）。 属于流的第一个分组总是命中此链，不跟踪分