nftables 简体中文

博客作者：联系请点击，搬运不易，希望请作者喝咖啡，可以点击联系博客作者

翻译状态： 本文是英文页面 Nftables 的翻译，最后翻译时间：2019-04-17，点击这里可以查看翻译后英文页面的改动。

nftables 是一个netfilter项目，旨在替换现有的{ip,ip6,arp,eb}tables框架，为{ip,ip6}tables提供一个新的包过滤框架、一个新的用户空间实用程序（nft）和一个兼容层。它使用现有的钩子、链接跟踪系统、用户空间排队组件和netfilter日志子系统。

它由三个主要组件组成：内核实现、libnl netlink通信和nftables用户空间前端。内核提供了一个netlink配置接口以及运行时规则集评估，libnl包含了与内核通信的基本函数，nftables前端是用户通过nft交互。

您还可以访问nftables官方wiki页面获取更多信息。

安装

安装用户空间实用程序包nftables或者git版本nftables-gitAUR。

用法

nftables区分命令行输入的临时规则和从文件加载或保存到文件的永久规则。默认配置文件是/etc/nftables.conf，其中已经包含一个名为"inet filter"的简单ipv4/ipv6防火墙列表。

start/enable nftables.service。

检查规则集：

# nft list ruleset

注意: 要使systemd服务正确运行，可能需要创建包含nftables所有相关模块的/etc/modules-load.d/nftables.conf文件。可以用以下命令获取模块列表：

$ lsmod | grep '^nf'

否则，可能会出现错误： Error: Could not process rule: No such file or directory

配置

nftables的用户空间实用程序nft评估大多数规则集并传递到内核。规则存储在链中，链存储在表中。以下部分说明如何创建和修改这些结构。

以下所有更改都是临时的。要永久更改，请见规则集保存到nftables.service加载的/etc/nftables.conf中：

# nft list ruleset > /etc/nftables.conf

注意:

nft list不输出变量的定义，如果在/etc/nftables.conf中有任何变量定义将会丢失。规则中使用的变量将替换为其变量值。
nft list ruleset在nftables v0.7 （Scrooge McDuck）在同时使用ICMP和ICMPv6时有语法限制。如果导出用作新的规则集将会导致错误。有关信息和解决方案，请参阅 stackexchange post。

要从文件读取输入，请使用-f参数：

# nft -f filename

注意，任何已加载的规则不会自动清空。

有关命令的完整列表，参见nft(8)。

表（Tables）

表包含#链[broken link: invalid section]。与iptables中的表不同，nftables中没有内置表。表的数量和名称由用户决定。但是，每个表只有一个地址簇，并且只适用于该簇的数据包。表可以指定五个簇中的一个：

nftables簇

iptables实用程序

iptables

ip6

ip6tables

inet

iptables和ip6tables

arp

arptables

bridge

ebtables

ip（即IPv4）是默认簇，如果未指定簇，则使用该簇。

要创建同时适用于IPv4和IPv6的规则，请使用inet。inet允许统一ip和ip6簇，以便更容易地定义规则。

注意: inet不能用于nat类型的链，只能用于filter类型的链。（source）

有关地址簇的完整描述，请参见nft(8)中的ADDRESS FAMILIES章节。

在以下情况中，family是可选的，如果未指定则设为ip。

创建表

创建一个新的表：

# nft add table family table

列出表

列出所有表：

# nft list tables

列出表中的链和规则

列出指定表中的所有链和规则：

# nft list table family table

例如，要列出inet簇中filter表中的所有规则：

# nft list table inet filter

删除表

删除一个表：

# nft delete table family table

只能删除不包含链的表。

清空表

要清空一个表中的所有规则：

# nft flush table family table

链（Chains）

链的目的是保存#规则[broken link: invalid section]。与iptables中的链不同，nftables没有内置链。这意味着与iptables不同，如果链没有使用netfilter框架中的任何类型或钩子，则流经这些链的数据包不会被nftables触及。

链有两种类型。基本链是来自网络栈的数据包的入口点，其中指定了钩子值。常规链可以作为更好地处理的跳转目标。

在以下情况中，family是可选的，如果未指定则设为ip。

创建链

常规链

将名为chain的常规链添加到名为table的表中：

# nft add chain family table chain

例如，将名为tcpchain的常规链添加到inet簇中名为filter的表中：

# nft add chain inet filter tcpchain

基本链

添加基本链，需要指定钩子和优先级值：

# nft add chain family table chain { type type hook hook priority priority \; }

type可以是filter、route或者nat。

IPv4/IPv6/Inet地址簇中，hook可以是prerouting、input、forward、output或者postrouting。其他地址簇中的钩子列表请参见nft(8)。

priority采用整数值。数字较小的链优先处理，并且可以是负数。[3]

例如，添加筛选输入数据包的基本链：

# nft add chain inet filter input { type filter hook input priority 0\; }

将上面命令中的add替换为create则可以添加一个新的链，但如果链已经存在，则返回错误。

列出规则

列出一个链中的所有规则：

# nft list chain family table chain

例如，要列出inet中filter表的output链中的所有规则：

# nft list chain inet filter output

编辑链

要编辑一个链，只需按名称调用并定义要更改的规则。

# nft chain family table chain { [ type type hook hook device device priority priority \; policy <policy> \; ] }

例如，将默认表中的input链策略从accept更改为drop：

# nft chain inet filter input { policy drop \; }

删除链

删除一个链：

# nft delete chain family table chain

要删除的链不能包含任何规则或者跳转目标。

清空链中的规则

清空一个链的规则：

# nft flush chain family table chain

规则（Rules）

规则由语句或表达式构成，包含在链中。

添加规则

提示： iptables-translate实用程序何以将iptables规则转换成nftables格式。

将一条规则添加到链中：

# nft add rule family table chain handle handle statement

规则添加到handle处，这是可选的。如果不指定，则规则添加到链的末尾。

将规则插入到指定位置：

# nft insert rule family table chain handle handle statement

如果未指定handle，则规则插入到链的开头。

表达式

通常情况下，statement包含一些要匹配的表达式，然后是判断语句。结论语句包括accept、drop、queue、continue、return、jump chain和goto chain。也可能是其他陈述。有关信息信息，请参阅nft(8)。

nftables中有多种可用的表达式，并且在大多数情况下，与iptables的对应项一致。最明显的区别是没有一般或隐式匹配。一般匹配是始终可用的匹配，如--protocol或--source。隐式匹配是用于特定协议的匹配，如TCP数据包的--sport。

以下是可用匹配的部分列表：

meta （元属性，如接口）
icmp （ICMP协议）
icmpv6 （ICMPv6协议）
ip （IP协议）
ip6 （IPv6协议）
tcp （TCP协议）
udp （UDP协议）
sctp （SCTP协议）
ct （链接跟踪）

以下是匹配参数的部分列表（完整列表请参见nft(8)）：

meta:
  oif <output interface INDEX>
  iif <input interface INDEX>
  oifname <output interface NAME>
  iifname <input interface NAME>

  （oif 和 iif 接受字符串参数并转换为接口索引）
  （oifname 和 iifname 更具动态性，但因字符串匹配速度更慢）

icmp:
  type <icmp type>

icmpv6:
  type <icmpv6 type>

ip:
  protocol <protocol>
  daddr <destination address>
  saddr <source address>

ip6:
  daddr <destination address>
  saddr <source address>

tcp:
  dport <destination port>
  sport <source port>

udp:
  dport <destination port>
  sport <source port>

sctp:
  dport <destination port>
  sport <source port>

ct:
  state <new | established | related | invalid>

注意: nft不使用/etc/services文件匹配端口号和名称，而是使用内置列表。要在命令行显示端口映射，请使用 nft describe tcp dport。

删除

单个规则只能通过其句柄删除。使用nft --handle list命令确定规则的句柄。请注意，--handle开关告诉nft输出句柄列表。

下面命令确定一个规则的句柄，然后删除。--number参数用于查看数字输出，如未解析的IP地址。

# nft --handle --numeric list chain inet filter input

table ip fltrTable {
     chain input {
          type filter hook input priority 0;
          ip saddr 127.0.0.1 accept # handle 10
     }
}

# nft delete rule inet fltrTable input handle 10

可以用nft flush table命令清空表中的所有的链。可以用nft flush chain或者nft delete rule命令清空单个链。

# nft flush table foo
# nft flush chain foo bar
# nft delete rule ip6 foo bar

第一个命令清空foo表中的所有链。第二个命令清空ip foo表中的bar链。第三个命令删除ip6 foo表bar两种的所有规则。

自动重载

清空当前规则集：

# echo "flush ruleset" > /tmp/nftables

导出当前规则集：

# nft list ruleset >> /tmp/nftables

可以直接修改/tmp/nftables文件，使更改生效则运行：

# nft -f /tmp/nftables

配置示例

工作站

/etc/nftables.conf

flush ruleset

table inet filter {
        chain input {
                type filter hook input priority 0;

                # accept any localhost traffic
                iif lo accept

                # accept traffic originated from us
                ct state established,related accept

        # accept ICMP & IGMP
        ip6 nexthdr icmpv6 icmpv6 type { destination-unreachable, packet-too-big, time-exceeded, parameter-problem, mld-listener-query, mld-listener-report, mld-listener-reduction, nd-router-solicit, nd-router-advert, nd-neighbor-solicit, nd-neighbor-advert, ind-neighbor-solicit, ind-neighbor-advert, mld2-listener-report } accept
        ip protocol icmp icmp type { destination-unreachable, router-solicitation, router-advertisement, time-exceeded, parameter-problem } accept
        ip protocol igmp accept

                # activate the following line to accept common local services
                #tcp dport { 22, 80, 443 } ct state new accept

                # count and drop any other traffic
                counter drop
        }
}

简单的IPv4/IPv6防火墙

firewall.rules

# A simple firewall

flush ruleset

table inet filter {
    chain input {
        type filter hook input priority 0; policy drop;

        # established/related connections
        ct state established,related accept

        # invalid connections
        ct state invalid drop

        # loopback interface
        iif lo accept

        # ICMP & IGMP
        ip6 nexthdr icmpv6 icmpv6 type { destination-unreachable, packet-too-big, time-exceeded, parameter-problem, mld-listener-query, mld-listener-report, mld-listener-reduction, nd-router-solicit, nd-router-advert, nd-neighbor-solicit, nd-neighbor-advert, ind-neighbor-solicit, ind-neighbor-advert, mld2-listener-report } accept
        ip protocol icmp icmp type { destination-unreachable, router-solicitation, router-advertisement, time-exceeded, parameter-problem } accept
        ip protocol igmp accept

        # SSH (port 22)
        tcp dport ssh accept

        # HTTP (ports 80 & 443)
        tcp dport { http, https } accept
    }

    chain forward {
        type filter hook forward priority 0; policy drop;
    }

    chain output {
        type filter hook output priority 0; policy accept;
    }

}

IPv4/IPv6防火墙限流

firewall.2.rules

table inet filter {
    chain input {
        type filter hook input priority 0; policy drop;

        ct state invalid drop

        iif lo accept

        # no ping floods:
        ip protocol icmp icmp type echo-request limit rate over 10/second burst 4 packets  drop
        ip6 nexthdr icmpv6 icmpv6 type echo-request limit rate over 10/second burst 4 packets drop

        ct state established,related accept

        # ICMP & IGMP
        ip6 nexthdr icmpv6 icmpv6 type { destination-unreachable, packet-too-big, time-exceeded, parameter-problem, mld-listener-query, mld-listener-report, mld-listener-reduction, nd-router-solicit, nd-router-advert, nd-neighbor-solicit, nd-neighbor-advert, ind-neighbor-solicit, ind-neighbor-advert, mld2-listener-report } accept
        ip protocol icmp icmp type { destination-unreachable, router-solicitation, router-advertisement, time-exceeded, parameter-problem } accept
        ip protocol igmp accept

        # avoid brute force on ssh:
        tcp dport ssh ct state new limit rate 15/minute accept

    }

    chain forward {
        type filter hook forward priority 0; policy drop;
    }

    chain output {
        type filter hook output priority 0; policy accept;
    }

}

跳转

在配置文件中使用跳转时，必须确保已经定义目标链。否则会引起错误Error: Could not process rule: No such file or directory。

jump.rules

table inet filter {
    chain web {
        tcp dport http accept
        tcp dport 8080 accept
    }
    chain input {
        type filter hook input priority 0;
        ip saddr 10.0.2.0/24 jump web
        drop
    }
}

不同接口采用不同规则

如果设备有多个网络接口，并且需要对不同接口采用不同的规则，则可能需要使用“调度”筛选链，然后使用特定接口筛选链。例如，假设设备用作家庭路由器，你需要在LAN（接口enp3s0）运行一个web服务器，但不用于internet（接口enp2s0），可以考虑以下的结构：

table inet filter {
  chain input { # this chain serves as a dispatcher
    type filter hook input priority 0;

    iif lo accept # always accept loopback
    iifname enp2s0 jump input_enp2s0
    iifname enp3s0 jump input_enp3s0

    reject with icmp type port-unreachable # refuse traffic from all other interfaces
  }
  chain input_enp2s0 { # rules applicable to public interface interface
    ct state {established,related} accept
    ct state invalid drop
    udp dport bootpc accept
    tcp dport bootpc accept
    reject with icmp type port-unreachable # all other traffic
  }
  chain input_enp3s0 {
    ct state {established,related} accept
    ct state invalid drop
    udp dport bootpc accept
    tcp dport bootpc accept
    tcp port http accept
    tcp port https accept
    reject with icmp type port-unreachable # all other traffic
  }
  chain ouput { # we let everything out
    type filter hook output priority 0;
    accept
  }
 }

或者，可以只选择一个iifname语句，如单个上游接口，并将其他接口的默认规则放在一起，而不是为每个接口进行调度。

Masquerading

nftables有一个特殊的关键字masquerade "where the source address is automagically set to the address of the output interface（源地址自动设置为出口地址）" ([http://wiki.nftables.org/wiki-ip地址改变时更新规则。

使用方法：

确保在内核中启用Masquerading（默认内核已启用），否则在内核配置过程中设置

CONFIG_NFT_MASQ=m

masquerade关键字只能用于nat类型的链，而nat链又不能在inet簇的表中。要用ip和/或ip6簇的表。
masquerading是一中源NAT，只能工作于输出路径。

具有两个接口的计算机的示例：LAN连接到nsp3s0，internet连接到enp2s0：

table ip nat {
  chain prerouting {
    type nat hook prerouting priority 0;
  }
  chain postrouting {
    type nat hook postrouting priority 100;
    oifname "enp0s2" masquerade
  }
}

提示和技巧

简单可用的防火墙

详细信息参见 Simple stateful firewall 。

单一计算机

清空当前规则集：

# nft flush ruleset

添加一个表：

# nft add table inet filter

添加input、forward和output三个基本链。input和forward的默认策略是drop。output的默认策略是accept。

# nft add chain inet filter input { type filter hook input priority 0 \; policy drop \; }
# nft add chain inet filter forward { type filter hook forward priority 0 \; policy drop \; }
# nft add chain inet filter output { type filter hook output priority 0 \; policy accept \; }

添加两个与TCP和UDP关联的常规链：

# nft add chain inet filter TCP
# nft add chain inet filter UDP

related和established的流量会accept：

# nft add rule inet filter input ct state related,established accept

loopback接口的流量会accept：

# nft add rule inet filter input iif lo accept

无效的流量会drop：

# nft add rule inet filter input ct state invalid drop

新的echo请求（ping）会accept：

# nft add rule inet filter input ip protocol icmp icmp type echo-request ct state new accept

新的UDP流量跳转到UDP链：

# nft add rule inet filter input ip protocol udp ct state new jump UDP

新的TCP流量跳转到TCP链：

# nft add rule inet filter input ip protocol tcp tcp flags \& \(fin\|syn\|rst\|ack\) == syn ct state new jump TCP

未由其他规则处理的所有通信会reject：

# nft add rule inet filter input ip protocol udp reject
# nft add rule inet filter input ip protocol tcp reject with tcp reset
# nft add rule inet filter input counter reject with icmp type prot-unreachable

此时，应决定对传入连接打开哪些端口，这些由TCP和UDP链处理。例如，要打开web服务器的连接端口，添加：

# nft add rule inet filter TCP tcp dport 80 accept

要打开web服务器HTTPS连接端口443：

# nft add rule inet filter TCP tcp dport 443 accept

允许SSH连接端口22：

# nft add rule inet filter TCP tcp dport 22 accept

允许传入DNS请求：

# nft add rule inet filter TCP tcp dport 53 accept
# nft add rule inet filter UDP udp dport 53 accept

确保更改是永久的。

防止暴力攻击

Sshguard是可以检测暴力攻击的程序，并根据临时黑名单IP地址修改防火墙。有关如何与nftables一起使用的问题，请参阅Sshguard#nftables。

参考

Last updated 5 years ago

Was this helpful?

nftables 简体中文

博客作者：联系请点击，搬运不易，希望请作者喝咖啡，可以点击联系博客作者

翻译状态： 本文是英文页面 Nftables 的翻译，最后翻译时间：2019-04-17，点击这里可以查看翻译后英文页面的改动。

您还可以访问nftables官方wiki页面获取更多信息。

安装

安装用户空间实用程序包nftables或者git版本nftables-gitAUR。

用法

start/enable nftables.service。

检查规则集：

# nft list ruleset

注意: 要使systemd服务正确运行，可能需要创建包含nftables所有相关模块的/etc/modules-load.d/nftables.conf文件。可以用以下命令获取模块列表：

$ lsmod | grep '^nf'

否则，可能会出现错误： Error: Could not process rule: No such file or directory

配置

nftables的用户空间实用程序nft评估大多数规则集并传递到内核。规则存储在链中，链存储在表中。以下部分说明如何创建和修改这些结构。

以下所有更改都是临时的。要永久更改，请见规则集保存到nftables.service加载的/etc/nftables.conf中：

# nft list ruleset > /etc/nftables.conf

注意:

nft list不输出变量的定义，如果在/etc/nftables.conf中有任何变量定义将会丢失。规则中使用的变量将替换为其变量值。
nft list ruleset在nftables v0.7 （Scrooge McDuck）在同时使用ICMP和ICMPv6时有语法限制。如果导出用作新的规则集将会导致错误。有关信息和解决方案，请参阅 stackexchange post。

要从文件读取输入，请使用-f参数：

# nft -f filename

注意，任何已加载的规则不会自动清空。

有关命令的完整列表，参见nft(8)。

表（Tables）

nftables簇

iptables实用程序

iptables

ip6

ip6tables

inet

iptables和ip6tables

arp

arptables

bridge

ebtables

ip（即IPv4）是默认簇，如果未指定簇，则使用该簇。

要创建同时适用于IPv4和IPv6的规则，请使用inet。inet允许统一ip和ip6簇，以便更容易地定义规则。

注意: inet不能用于nat类型的链，只能用于filter类型的链。（source）

有关地址簇的完整描述，请参见nft(8)中的ADDRESS FAMILIES章节。

在以下情况中，family是可选的，如果未指定则设为ip。

创建表

创建一个新的表：

# nft add table family table

列出表

列出所有表：

# nft list tables

列出表中的链和规则

列出指定表中的所有链和规则：

# nft list table family table

例如，要列出inet簇中filter表中的所有规则：

# nft list table inet filter

删除表

删除一个表：

# nft delete table family table

只能删除不包含链的表。

清空表

要清空一个表中的所有规则：

# nft flush table family table

链（Chains）

链有两种类型。基本链是来自网络栈的数据包的入口点，其中指定了钩子值。常规链可以作为更好地处理的跳转目标。

在以下情况中，family是可选的，如果未指定则设为ip。

创建链

常规链

将名为chain的常规链添加到名为table的表中：

# nft add chain family table chain

例如，将名为tcpchain的常规链添加到inet簇中名为filter的表中：

# nft add chain inet filter tcpchain

基本链

添加基本链，需要指定钩子和优先级值：

# nft add chain family table chain { type type hook hook priority priority \; }

type可以是filter、route或者nat。

IPv4/IPv6/Inet地址簇中，hook可以是prerouting、input、forward、output或者postrouting。其他地址簇中的钩子列表请参见nft(8)。

priority采用整数值。数字较小的链优先处理，并且可以是负数。[3]

例如，添加筛选输入数据包的基本链：

# nft add chain inet filter input { type filter hook input priority 0\; }

将上面命令中的add替换为create则可以添加一个新的链，但如果链已经存在，则返回错误。

列出规则

列出一个链中的所有规则：

# nft list chain family table chain

例如，要列出inet中filter表的output链中的所有规则：

# nft list chain inet filter output

编辑链

要编辑一个链，只需按名称调用并定义要更改的规则。

# nft chain family table chain { [ type type hook hook device device priority priority \; policy <policy> \; ] }

例如，将默认表中的input链策略从accept更改为drop：

# nft chain inet filter input { policy drop \; }

删除链

删除一个链：

# nft delete chain family table chain

要删除的链不能包含任何规则或者跳转目标。

清空链中的规则

清空一个链的规则：

# nft flush chain family table chain

规则（Rules）

规则由语句或表达式构成，包含在链中。

添加规则

提示： iptables-translate实用程序何以将iptables规则转换成nftables格式。

将一条规则添加到链中：

# nft add rule family table chain handle handle statement

规则添加到handle处，这是可选的。如果不指定，则规则添加到链的末尾。

将规则插入到指定位置：

# nft insert rule family table chain handle handle statement

如果未指定handle，则规则插入到链的开头。

表达式

以下是可用匹配的部分列表：

meta （元属性，如接口）
icmp （ICMP协议）
icmpv6 （ICMPv6协议）
ip （IP协议）
ip6 （IPv6协议）
tcp （TCP协议）
udp （UDP协议）
sctp （SCTP协议）
ct （链接跟踪）

以下是匹配参数的部分列表（完整列表请参见nft(8)）：

meta:
  oif <output interface INDEX>
  iif <input interface INDEX>
  oifname <output interface NAME>
  iifname <input interface NAME>

  （oif 和 iif 接受字符串参数并转换为接口索引）
  （oifname 和 iifname 更具动态性，但因字符串匹配速度更慢）

icmp:
  type <icmp type>

icmpv6:
  type <icmpv6 type>

ip:
  protocol <protocol>
  daddr <destination address>
  saddr <source address>

ip6:
  daddr <destination address>
  saddr <source address>

tcp:
  dport <destination port>
  sport <source port>

udp:
  dport <destination port>
  sport <source port>

sctp:
  dport <destination port>
  sport <source port>

ct:
  state <new | established | related | invalid>

注意: nft不使用/etc/services文件匹配端口号和名称，而是使用内置列表。要在命令行显示端口映射，请使用 nft describe tcp dport。

删除

单个规则只能通过其句柄删除。使用nft --handle list命令确定规则的句柄。请注意，--handle开关告诉nft输出句柄列表。

下面命令确定一个规则的句柄，然后删除。--number参数用于查看数字输出，如未解析的IP地址。

# nft --handle --numeric list chain inet filter input

table ip fltrTable {
     chain input {
          type filter hook input priority 0;
          ip saddr 127.0.0.1 accept # handle 10
     }
}

# nft delete rule inet fltrTable input handle 10

可以用nft flush table命令清空表中的所有的链。可以用nft flush chain或者nft delete rule命令清空单个链。

# nft flush table foo
# nft flush chain foo bar
# nft delete rule ip6 foo bar

第一个命令清空foo表中的所有链。第二个命令清空ip foo表中的bar链。第三个命令删除ip6 foo表bar两种的所有规则。

自动重载

清空当前规则集：

# echo "flush ruleset" > /tmp/nftables

导出当前规则集：

# nft list ruleset >> /tmp/nftables

可以直接修改/tmp/nftables文件，使更改生效则运行：

# nft -f /tmp/nftables

配置示例

工作站

/etc/nftables.conf

flush ruleset

table inet filter {
        chain input {
                type filter hook input priority 0;

                # accept any localhost traffic
                iif lo accept

                # accept traffic originated from us
                ct state established,related accept

        # accept ICMP & IGMP
        ip6 nexthdr icmpv6 icmpv6 type { destination-unreachable, packet-too-big, time-exceeded, parameter-problem, mld-listener-query, mld-listener-report, mld-listener-reduction, nd-router-solicit, nd-router-advert, nd-neighbor-solicit, nd-neighbor-advert, ind-neighbor-solicit, ind-neighbor-advert, mld2-listener-report } accept
        ip protocol icmp icmp type { destination-unreachable, router-solicitation, router-advertisement, time-exceeded, parameter-problem } accept
        ip protocol igmp accept

                # activate the following line to accept common local services
                #tcp dport { 22, 80, 443 } ct state new accept

                # count and drop any other traffic
                counter drop
        }
}

简单的IPv4/IPv6防火墙

firewall.rules

# A simple firewall

flush ruleset

table inet filter {
    chain input {
        type filter hook input priority 0; policy drop;

        # established/related connections
        ct state established,related accept

        # invalid connections
        ct state invalid drop

        # loopback interface
        iif lo accept

        # ICMP & IGMP
        ip6 nexthdr icmpv6 icmpv6 type { destination-unreachable, packet-too-big, time-exceeded, parameter-problem, mld-listener-query, mld-listener-report, mld-listener-reduction, nd-router-solicit, nd-router-advert, nd-neighbor-solicit, nd-neighbor-advert, ind-neighbor-solicit, ind-neighbor-advert, mld2-listener-report } accept
        ip protocol icmp icmp type { destination-unreachable, router-solicitation, router-advertisement, time-exceeded, parameter-problem } accept
        ip protocol igmp accept

        # SSH (port 22)
        tcp dport ssh accept

        # HTTP (ports 80 & 443)
        tcp dport { http, https } accept
    }

    chain forward {
        type filter hook forward priority 0; policy drop;
    }

    chain output {
        type filter hook output priority 0; policy accept;
    }

}

IPv4/IPv6防火墙限流

firewall.2.rules

table inet filter {
    chain input {
        type filter hook input priority 0; policy drop;

        ct state invalid drop

        iif lo accept

        # no ping floods:
        ip protocol icmp icmp type echo-request limit rate over 10/second burst 4 packets  drop
        ip6 nexthdr icmpv6 icmpv6 type echo-request limit rate over 10/second burst 4 packets drop

        ct state established,related accept

        # ICMP & IGMP
        ip6 nexthdr icmpv6 icmpv6 type { destination-unreachable, packet-too-big, time-exceeded, parameter-problem, mld-listener-query, mld-listener-report, mld-listener-reduction, nd-router-solicit, nd-router-advert, nd-neighbor-solicit, nd-neighbor-advert, ind-neighbor-solicit, ind-neighbor-advert, mld2-listener-report } accept
        ip protocol icmp icmp type { destination-unreachable, router-solicitation, router-advertisement, time-exceeded, parameter-problem } accept
        ip protocol igmp accept

        # avoid brute force on ssh:
        tcp dport ssh ct state new limit rate 15/minute accept

    }

    chain forward {
        type filter hook forward priority 0; policy drop;
    }

    chain output {
        type filter hook output priority 0; policy accept;
    }

}

跳转

在配置文件中使用跳转时，必须确保已经定义目标链。否则会引起错误Error: Could not process rule: No such file or directory。

jump.rules

table inet filter {
    chain web {
        tcp dport http accept
        tcp dport 8080 accept
    }
    chain input {
        type filter hook input priority 0;
        ip saddr 10.0.2.0/24 jump web
        drop
    }
}

不同接口采用不同规则

table inet filter {
  chain input { # this chain serves as a dispatcher
    type filter hook input priority 0;

    iif lo accept # always accept loopback
    iifname enp2s0 jump input_enp2s0
    iifname enp3s0 jump input_enp3s0

    reject with icmp type port-unreachable # refuse traffic from all other interfaces
  }
  chain input_enp2s0 { # rules applicable to public interface interface
    ct state {established,related} accept
    ct state invalid drop
    udp dport bootpc accept
    tcp dport bootpc accept
    reject with icmp type port-unreachable # all other traffic
  }
  chain input_enp3s0 {
    ct state {established,related} accept
    ct state invalid drop
    udp dport bootpc accept
    tcp dport bootpc accept
    tcp port http accept
    tcp port https accept
    reject with icmp type port-unreachable # all other traffic
  }
  chain ouput { # we let everything out
    type filter hook output priority 0;
    accept
  }
 }

或者，可以只选择一个iifname语句，如单个上游接口，并将其他接口的默认规则放在一起，而不是为每个接口进行调度。

Masquerading

使用方法：

确保在内核中启用Masquerading（默认内核已启用），否则在内核配置过程中设置

CONFIG_NFT_MASQ=m

masquerade关键字只能用于nat类型的链，而nat链又不能在inet簇的表中。要用ip和/或ip6簇的表。
masquerading是一中源NAT，只能工作于输出路径。

具有两个接口的计算机的示例：LAN连接到nsp3s0，internet连接到enp2s0：

table ip nat {
  chain prerouting {
    type nat hook prerouting priority 0;
  }
  chain postrouting {
    type nat hook postrouting priority 100;
    oifname "enp0s2" masquerade
  }
}

提示和技巧

简单可用的防火墙

详细信息参见 Simple stateful firewall 。

单一计算机

清空当前规则集：

# nft flush ruleset

添加一个表：

# nft add table inet filter

添加input、forward和output三个基本链。input和forward的默认策略是drop。output的默认策略是accept。

# nft add chain inet filter input { type filter hook input priority 0 \; policy drop \; }
# nft add chain inet filter forward { type filter hook forward priority 0 \; policy drop \; }
# nft add chain inet filter output { type filter hook output priority 0 \; policy accept \; }

添加两个与TCP和UDP关联的常规链：

# nft add chain inet filter TCP
# nft add chain inet filter UDP

related和established的流量会accept：

# nft add rule inet filter input ct state related,established accept

loopback接口的流量会accept：

# nft add rule inet filter input iif lo accept

无效的流量会drop：

# nft add rule inet filter input ct state invalid drop

新的echo请求（ping）会accept：

# nft add rule inet filter input ip protocol icmp icmp type echo-request ct state new accept

新的UDP流量跳转到UDP链：

# nft add rule inet filter input ip protocol udp ct state new jump UDP

新的TCP流量跳转到TCP链：

# nft add rule inet filter input ip protocol tcp tcp flags \& \(fin\|syn\|rst\|ack\) == syn ct state new jump TCP

未由其他规则处理的所有通信会reject：

# nft add rule inet filter input ip protocol udp reject
# nft add rule inet filter input ip protocol tcp reject with tcp reset
# nft add rule inet filter input counter reject with icmp type prot-unreachable

此时，应决定对传入连接打开哪些端口，这些由TCP和UDP链处理。例如，要打开web服务器的连接端口，添加：

# nft add rule inet filter TCP tcp dport 80 accept

要打开web服务器HTTPS连接端口443：

# nft add rule inet filter TCP tcp dport 443 accept

允许SSH连接端口22：

# nft add rule inet filter TCP tcp dport 22 accept

允许传入DNS请求：

# nft add rule inet filter TCP tcp dport 53 accept
# nft add rule inet filter UDP udp dport 53 accept

确保更改是永久的。

防止暴力攻击

Sshguard是可以检测暴力攻击的程序，并根据临时黑名单IP地址修改防火墙。有关如何与nftables一起使用的问题，请参阅Sshguard#nftables。

参考

Last updated 5 years ago

Was this helpful?