nftables防火墙规则

类别 centos

0.1 nftables防火墙规则

nftables 框架替换了 iptables 默认网络数据包过滤工具，可以通过nft命令可编程式的配置防火墙。
firewalld也是Linux的防火墙，同时支持iptables和nftables，最新版本默认使用nftables。
简单的说firewalld是基于nftfilter防火墙的用户界面工具。而iptables和nftables是命令行工具。
firewalld引入区域的概念，可以动态配置，让防火墙配置及使用变得简便。
从用户的角度来看，nftables添加了一个名为nft的新工具，它取代了iptables，arptables和ebtables中的所有其他工具。
从架构的角度来看，它还取代了处理包过滤规则集的运行时评估的内核部分。

查询所有表名

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
[root@CentOS8 ~]# nft list tables
table ip filter
table ip6 filter
table bridge filter
table ip security
table ip raw
table ip mangle
table ip nat
table ip6 security
table ip6 raw
table ip6 mangle
table ip6 nat
table bridge nat

查看某个表的规则

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
[root@CentOS8 ~]# nft list table filter
table ip filter {
    chain INPUT {
        type filter hook input priority 0; policy accept;
    }

    chain FORWARD {
        type filter hook forward priority 0; policy accept;
    }

    chain OUTPUT {
        type filter hook output priority 0; policy accept;
    }
}

打开交互配置模式

1
nft -i

0.2 nft基础操作

1、增

1
2
3
增加表：nft add table fillter
增加链：nft add chain filter input { type filter hook input priority 0 \; } # 要和hook（钩子）相关连
增加规则：nft add rule filter input tcp dport 22 accept

2、删

1
只需要把上面的 add 改为 delete 即可

3、改

1
2
更改链名用rename
更改规则用replace

4、查

1
2
3
4
5
6
nft list ruleset # 列出所有规则
nft list tables # 列出所有表
nft list table filter # 列出filter表
nft chain filter input # 列出filter表input链
以上命令后面也可以加 -nn  用于不解析ip地址和端口
加 -a 用于显示 handles

nftables防火墙规则

0.1 nftables防火墙规则

0.2 nft基础操作

相关推荐

随机文章