什麼是 nftables ? 它與 iptables 的差異是什麼？

幾乎每個(gè) Linux 管理員都使用過(guò) iptables，它是一個(gè) Linux 系統(tǒng)的防火牆。但你可能還不太熟悉 nftables，這是一個(gè)新的防火牆，可為我們提供一些必需的升級(jí)，還有可能會(huì)取代 iptables。

為什麼要使用 nftables 呢？

Nftables由Netfilter組織開發(fā)，該組織目前負(fù)責(zé)維護(hù)iptables。 Nftables的設(shè)計(jì)目的在於解決iptables存在的效能和可擴(kuò)充性問(wèn)題。

除了一些升級(jí)和更改的語(yǔ)法以外，nftables 的功能與 iptables 幾乎相同。之所以推出 nftables 的另一個(gè)原因，是因?yàn)?iptables 的框架變的有點(diǎn)複雜，iptables, ip6tables, arptables 以及 ebtables 都有不同但相似的功能。

例如，在 iptables 中建立 IPv4 規(guī)則和在 ip6tables 中建立 IPv6 規(guī)則並保持兩者同步是非常低效的。 Nftables 旨在取代所有這些，成為一個(gè)集中的解決方案。

儘管自 2014 年以來(lái)，nftables 就被包含在 Linux 核心中，但隨著採(cǎi)用範(fàn)圍的擴(kuò)大，它最近越來(lái)越受歡迎。 Linux 世界的變化很慢，過(guò)時(shí)的實(shí)用程式通常需要幾年或更長(zhǎng)的時(shí)間才能逐步淘汰，取而代之的是升級(jí)後的實(shí)用程式。

今天我們就簡(jiǎn)單介紹一下 nftables 和 iptables 之間的差異，並展示在新的 nftables 語(yǔ)法中配置防火牆規(guī)則的範(fàn)例。

nftables 中的鏈（chains）和規(guī)則

在iptables 中，有三個(gè)預(yù)設(shè)的鏈：輸入、輸出和轉(zhuǎn)發(fā)。這三個(gè)“鏈”（以及其他鏈）包含“規(guī)則”，iptables 透過(guò)將網(wǎng)路流量與 鏈中的規(guī)則清單進(jìn)行配對(duì)進(jìn)行工作。當(dāng)正在檢查的流量與所有規(guī)則都不符合時(shí)，鏈的預(yù)設(shè)策略（例如ACCEPT或DROP）將適用於此流量。

Nftables的工作原理與此類似，也有「鏈」和「規(guī)則」。然而，它一開始沒(méi)有任何基礎(chǔ)鏈，這使得配置更加靈活。

iptables 效率低下的一個(gè)面向是，即使流量與任何規(guī)則都不匹配，所有網(wǎng)路資料也必須遍歷上述鏈中的一個(gè)或多個(gè)。即使你沒(méi)有設(shè)定鏈路，iptables仍然會(huì)檢查你的網(wǎng)路資料並進(jìn)行處理。

在Linux 中安裝nftables

#nftables 在所有主要的Linux 發(fā)行版中都可用，可以使用發(fā)行版的套件管理器安裝。

在Ubuntu 或基於Debian 的系統(tǒng)中可使用下列指令：

sudo apt install nftables

設(shè)定nftables在系統(tǒng)重新啟動(dòng)的時(shí)候自動(dòng)啟動(dòng)，可執(zhí)行如下操作：

sudo systemctl enable nftables.service

iptables 和nftables 之間的語(yǔ)法差異

與iptables 相比，nftables 的語(yǔ)法更簡(jiǎn)單，不過(guò)對(duì)於iptables 中的語(yǔ)法，在nftables 中也能用。

大家可使用 iptables-translate 工具，該工具接受 iptables 指令並將其轉(zhuǎn)為等效的 nftables 指令，這是了解兩種語(yǔ)法差異的簡(jiǎn)單方法。

使用以下指令在Ubuntu 和基於Debian 的發(fā)行版上安裝iptables-translate：

sudo apt install iptables-nftables-compat

安裝後，你可以將iptables 語(yǔ)法傳遞給iptables-translate 指令，它將傳回nftables 等效指令。

下面我們來(lái)看一些具體的語(yǔ)法範(fàn)例。

阻止傳入連線

#下述指令將阻止來(lái)自IP位址192.168.2.1的傳入連線：

$ iptables-translate -A INPUT -s 192.168.2.1 -j DROPnft add rule ip filter INPUT ip saddr 192.168.2.1 counter drop

允許傳入SSH連線

#放開ssh 連線權(quán)限：##

$ iptables-translate -A INPUT -p tcp --dport 22 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPTnft add rule ip filter INPUT tcp dport 22 ct state new,established counter accept

允許來(lái)自特定IP 範(fàn)圍的傳入SSH連線

#如果只想允許來(lái)自192.168.1.0/24的傳入SSH連線：

$ iptables-translate -A INPUT -p tcp -s 192.168.1.0/24 --dport 22 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPTnft add rule ip filter INPUT ip saddr 192.168.1.0/24 tcp dport 22 ct state new,established counter accept

允許MySQL連接到eth0網(wǎng)絡(luò)接口

$ iptables-translate -A INPUT -i eth0 -p tcp --dport 3306 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPTnft add rule ip filter INPUT iifname eth0 tcp dport 3306ct state new,established counter accept

允許傳入HTTP和HTTPS流量

為了允許特定類型的流量，以下是這兩個(gè)命令的語(yǔ)法：

$ iptables-translate -A INPUT -p tcp -m multiport --dports 80,443 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPTnft add rule ip filter INPUT ip protocol tcp tcp dport { 80,443} ct state new,established counter accept

從這些例子中可以看出，nftables 語(yǔ)法與 iptables 非常相似，但命令更直觀一些。

nftables 日志

上述nft命令示例中的“counter”選項(xiàng)告訴nftables統(tǒng)計(jì)規(guī)則被觸碰的次數(shù)，就像默認(rèn)情況下使用的iptables一樣。

在nftables中，需要指定：

nft add rule ip filter INPUT ip saddr 192.168.2.1 counter accept

nftables內(nèi)置了用于導(dǎo)出配置的選項(xiàng)。它目前支持XML和JSON。

nft export xml

以上是什麼是 nftables ? 它與 iptables 的差別是什麼？的詳細(xì)內(nèi)容。更多資訊請(qǐng)關(guān)注PHP中文網(wǎng)其他相關(guān)文章！