- 综合排序
- 最热优先
- 最新优先
- 来自专栏charlieroro
nftables用法介绍
Kubernetes 1.29版本中已经将nftables作为一个featureGates,本文简单整理了nftables的用法,便于后续理解kubernetes的nftables规则。 文末给出了使用kubeadm部署启用nftables featureGates的配置文件。 如下内容来源nftables的man文档以及wiki。 nftables和iptables的不同之处 nftables使用了新的语法:nftables使用了类似tcpdump的紧凑语法 可以完全配置tables和chains:iptables中有一些预定义的 单个nftables可以执行多个动作:iptables中通过匹配只能执行单个动作,但在nftables 规则中可以包含0或多个expressions(用于匹配报文),以及1或多个statements,每个 nftables的结构 跟iptables一样,nftables也使用了table->chain->rule的概念。并使用family的概念区分了报文类型。
3.2K10编辑于 2024-01-31 - 来自专栏云原生实验室
nftables 与 OpenVPN 的结合实践
本文对比了 linux 环境各类防火墙工具,还展示了 iptables 规则如何保存到文件并翻译成 nftables 规则,并给出了 nftables 与 openvpn 配合对混合云内网用户访问权限的精准控制方案 选型与对比 鉴于之前写的 VPN 权限管理项目的缺点,以及对比 iptables(ipset)、nftables、ebpf-iptables 后,确定过滤网络数据包的底层工具还是选用 nftables 因为已经考虑完全用 nftables 替代 iptables 了所以要考虑用 nftables 来组织规则,该怎么写呢? 参考资料 Moving from iptables to nftables[1] 脚注 [1] Moving from iptables to nftables: https://www.oschina.net url=https%3A%2F%2Fwiki.nftables.org%2Fwiki-nftables%2Findex.php%2FMoving_from_iptables_to_nftables
3.4K30发布于 2021-07-16 - 来自专栏云原生实验室
nftables 日志解决方案实践
nftables 重要规则进行日志记录,并配置日志切割、nftables 规则固定到文件,保证重启不丢失。 从 nftables v0.7 开始,支持 log 标志。 那么我们的内核是5.13.0-1.el7.elrepo.x86_64,nftables 版本是nftables v0.8 (Joe Btfsplk),应该不需要手动加载内核模块。 .*" -/var/log/nftables.log ## 重启日志服务 systemctl restart rsyslog ## 查看日志 tail -100f /var/log/nftables.log 生产上有测试机器疯狂访问数据库,这里清理日志改成每3月 vim /etc/logrotate.d/nftables /var/log/nftables.log { monthly rotate
3.1K20发布于 2021-07-15 - 来自专栏数通
nftables和iptables的区别,多维度对比理解!
应粉丝要求,介绍下iptables 和 nftables 的区别! 2.nftables: 语法更简洁、一致和直观,类似于高级编程语言,可读性更强。 支持变量、集合和映射,可以轻松管理IP地址列表和端口范围等。 提供 iptables-translate 工具,可将现有的 iptables 规则自动转换为 nftables 语法,迁移成本较低。 2.nftables: 原生支持动态更新,规则可以实时修改而无需重启。 内置计数和日志功能(需显式使用 counter关键字),更便于监控和调试。 2.nftables: 设计上考虑了对 iptables 的兼容性。在多数新发行版中,iptables命令实际上作为 nftables 的兼容接口存在,背后调用的是 nftables 内核API。
1.4K10编辑于 2025-10-11 - 来自专栏owent
折腾一下nftables下的双拨
(这里也是 nftables 尚未支持的功能,所以我用了 ebtables ) 第二个要点是需要关注一下 man 8 ip-rule 里的 SELECTOR 参数。 我家里的工具用得比较激进,目前是 iptables 和 nftables 共存的。 NAT由 nftables 提供,iptables 仅仅提供了一些第三方工具尚未支持和 nftables 不支持的功能。 默认情况下,两个PPP连接成功以后,都会添加到默认路由表中。 nftables 也自带随机和Hash功能,这样设置起来就很简单。 和其他服务的tproxy策略路由配合 在这之前,我的软路由里已经有其他服务使用了Mark做tproxy了(使用了0-7位)。 nftables 则支持表达式,更灵活一些。但是 nftables 目前版本对Mark操作时,逻辑运算符的右边的第二个参数必须是常量,不能是变量。
2.9K20编辑于 2023-03-17 - 来自专栏owent
又开新坑之 coredns 插件: nftables和filter
背景 传说中的下一代 iptables 的 nftables 已经出来了好长时间了。现在主流发行版的内核也都已经更新到了对 nftables 支持足够好的版本。 在2年多前我也初步体验过了 nftables ,当时写了个 《nftables初体验》 。并且开始使用 nftables 来实现对家里软路由的管理。 而去年的时候,我也尝试用 nftables 实现了双拨(详见: 《折腾一下nftables下的双拨》)并且可以搭配TPROXY透明代理使用。 coredns-nftables coredns-nftables 用于操作 nftables。先预留了也许以后还可以由其他操作,所以插件名字就叫 nftables 。 */i nftables:github.com/owent/coredns-nftables' plugin.cfg go get github.com/owent/coredns-nftables
1.6K20编辑于 2023-03-06 - 来自专栏云原生实验室
CentOS 8 都发布了,你还不会用 nftables?
如果你还没有听说过 nftables,现在是时候学习一下了。 nftables 主要由三个组件组成:内核实现、libnl netlink 通信和 nftables 用户空间。 nftables VS iptables nftables 和 iptables 一样,由表(table)、链(chain)和规则(rule)组成,其中表包含链,链包含规则,规则是真正的 action。 与 iptables 相比,nftables 主要有以下几个变化: iptables 规则的布局是基于连续的大块内存的,即数组式布局;而 nftables 的规则采用链式布局。 备份规则: $ nft list ruleset > /root/nftables.conf 加载恢复: $ nft -f /root/nftables.conf 在 CentOS 8 中,nftables.service
2K00发布于 2019-10-09 - 来自专栏云原生知识宇宙
云原生家庭网络(十七):使用 nftables 透明拦截流量
概述iptables 和 nftables 都能用于透明代理的流量拦截,区别就是 nftables 是后起之秀,未来取代 iptables。可读性更高、性能更好。 本文介绍如何在路由器利用 nftables 透明拦截流量。 思路可以利用 Pod 的 postStart 和 preStop 两个生命周期的 hook 来设置和清理 nftables 相关规则: lifecycle: postStart name: nftables-config name: nftables-config - configMap: defaultMode: 511 /nftables.conf # 设置 nftables 规则exit 0清理规则的脚本clean.sh:#!
1.6K10编辑于 2024-05-30 - 来自专栏深度学习与python
Kubernetes 1.29 增强了 KMS V2 并提供对 nftables 的支持
最新版本引入了一些新特性,比如 Service 负载均衡器的 IP 模式、Windows 容器的可变 Pod 资源以及基于 nftables 的 kube-proxy。 在新的版本中,为 kube-proxy 引入了一个基于 nftables 作为新后端。添加该特性是因为一些 Linux 发行版正在废弃或移除 iptables。 来自发布团队的 Nina Polshakova 评论了这个特殊的特性: 在 nftables 模式下,kube-proxy 使用 nftables 代替 iptables 来配置数据包的转发规则。 查看英文原文: Kubernetes 1.29 Released with KMS V2 Improvements and nftables Support (https://www.infoq.com
50610编辑于 2024-02-17 - 来自专栏数通
别再只知道iptables和firewalld了,最新的nftables不可不知。
nftables是目前主流新版本的Linux默认集成或支持防火墙管理工具。nftables 的语法设计追求清晰和强大,旨在提供比传统工具更灵活和高效的规则管理方式。 表 (Table) 表是 nftables 规则的最高层级组织单位,每个表都属于一个特定的地址簇(address family),这决定了该表可以处理哪些类型的网络流量。 nft list ruleset > /etc/nftables.conf # 导出当前规则 systemctl enable nftables --now # 启用并立即启动nftables服务(重启后自动加载规则 ) 也可在 /etc/nftables.conf中直接编写规则,语法与命令行一致。 priority -100 \; } nft add rule ip nat prerouting iifname "eth0" tcp dport 8080 dnat to 192.168.1.10:80 nftables
1.4K10编辑于 2025-10-11 - 来自专栏云计算运维
GNULinux 系统下 nftables 防火墙的本地 IPS 能力部署实例
通过执行命令 vi /lib/systemd/system/nftables.service,从该文件中的语句 ExecStart=/usr/sbin/nft -f /etc/nftables.conf 我们可以清楚的看到,nftables 防火墙的默认配置和规则文件一般都放置在系统的 /etc/nftables.conf 目录中,不过该默认配置文件中只包含一个名为 inet filter 的简单 IPv4 与 iptables 中的链不同,nftables 也没有内置链。 这意味着与 iptables 不同,如果链不匹配 nftables 框架中的簇或钩子,则流经这些链的数据包不会被 nftables 触及。 链有两种类型。 之后用户可以使用命令 nft list ruleset > /etc/nftables.conf 将这些规则保存在 nftables 的默认配置文件中,并使用 systemctl enable nftables.service
1.5K10发布于 2021-09-18 - 来自专栏云原生实验室
让 Linux 防火墙新秀 nftables 为你的 VPS 保驾护航
,但 nftables 的灵活性更高。 01 安装 nftables 首先需要安装 nftables: $ yum install -y nftables 由于 nftables 默认没有内置的链,但提供了一些示例配置,我们可以将其 include 主配置文件为 /etc/sysconfig/nftables.conf,将下面一行内容取消注释: # include "/etc/nftables/inet-filter" 然后启动 nftables 为了使系统或 nftables 重启后能够继续生效,我们需要将这些规则持久化,直接将规则写入 /etc/nftables/inet-filter: $ echo "#! 中创建一个 nftables 文件: $ cat /etc/logrotate.d/nftables /var/log/nftables/* { rotate 5 daily maxsize 50M
4.6K10发布于 2019-12-23 - 来自专栏开源部署
解决CentOS 8 Docker容器无法上网的问题
解决办法 通过搜索了解到CentOS 8上防火墙发生了一些变化,防火墙原来使用iptables,现在使用nftables,猜测可能是转发引起的问题。 Resolving under Network [CentOS8],解决办法为: 编辑firewalld配置文件/etc/firewalld/firewalld.conf,将: FirewallBackend=nftables 总结 可通过修改/etc/docker/daemon.json设置Docker DNS CentOS 8防火墙由iptables变更为了nftables 可通过修改Firewalld配置文件/etc/firewalld /firewalld.conf将nftables换回iptables
2.8K10编辑于 2022-08-13 Linux 防火墙与 SELinux 配置:生产环境安全合规指南
以下提供针对 nftables 的实战示例。 1. Ansible 实现 nftables 规则管理 Ansible 适合主机级防火墙配置的批量下发,通过 nftables 模块可直接管理规则集。 : k8s_nodes become: true tasks: - name: 确保 nftables 服务启动并开机自启 service: name: nftables mode: '0644' notify: - 重启 nftables 服务 handlers: - name: 重启 nftables 服务 防火墙配置模板(nftables) # /etc/nftables.conf(CIS 合规版) flush ruleset # 定义表与链 table inet filter { # 入站规则 提交变更后,CI 流水线自动验证配置文件的语法正确性(如使用 nft -c -f /etc/nftables.conf 验证 nftables 规则)。
46810编辑于 2025-12-24- 来自专栏除除的专栏
腾讯云轻量应用服务器: Debian 12.x Docker 从安装配置到容器部署全流程
docker exec -it CONTAINER_NAME bash更新容器重启策略:docker update --restart=unless-stopped CONTAINER_NAME防火墙管理检查 nftables 状态:systemctl status nftables○ nftables.service - nftables Loaded: loaded (/lib/systemd/system/nftables.service disabled; preset: enabled) Active: inactive (dead) Docs: man:nft(8) http://wiki.nftables.org 如果想规避冲突,可以禁用 nftables (可选):systemctl stop nftablessystemctl disable nftables安装 ufw 和 net-tools:apt install
1.1K10编辑于 2026-01-05 - 来自专栏Flowlet
Linux 连接跟踪(conntrack)[译]
以 nft_ct 内核模块为例,它是 Nftables 的带状态包过滤模块。 1.5 nf_conntrack 模块 当第一条带有连接跟踪表达式(CONNTRACK EXPRESSION)的 Nftables 规则添加到当前网络命名空间的规则集(ruleset)中时,Nftables 3、CT 实战 3.1 概览 Iptables/Nftables 用于匹配跟踪连接状态的常用语法如下所示: #Nftables example ct state established,related Iptables/Nftables:其中一些 bit 位可以通过在 Iptables/Nftables 规则中使用 conntrack 表达式直接进行匹配。 匹配此报文的 conntrack 表达式 Nftables ct state related Nftables ct state related ct direction reply Iptables
2.4K11编辑于 2024-08-01 - 来自专栏玖叁叁
linux防火墙的配置和管理(二)
sysconfig/iptables要在系统启动时加载防火墙规则,请使用以下命令:service iptables savechkconfig iptables onnftables在最新版本的Linux内核中,nftables nftables具有更简洁的语法和更好的性能。nftables的基本语法与iptables类似,但有一些重要的区别。 以下是一些nftables规则:允许特定端口的流量nft add rule inet filter input tcp dport <port> accept例如,以下命令将允许HTTP流量:nft add
2.2K10编辑于 2023-04-10 Ubuntu Server 防火墙深度解析:从基础到高可用集群部署
:新一代防火墙框架3.1 为什么需要 nftables? 旨在解决这些问题,提供:更统一、简洁的语法更好的性能,特别是处理大量规则时单一框架替代多个工具支持 JSON 格式规则,便于自动化3.2 nftables 核心概念与语法nftables 使用表(table nft add rule ip filter input ip saddr 192.168.1.0/24 tcp dport 80 accept3.4 实战:nftables 配置示例基本 nftables : " drop保存 nftables 配置:# 保存当前规则集nft list ruleset > /etc/nftables.conf# 设置开机自启systemctl enable nftablessystemctl start nftables3.5 nftables 高级特性集合和字典:# 定义 IP 集合nft add set inet filter allowed_ips { type ipv4_addr;
60610编辑于 2025-09-21- 来自专栏山河已无恙
关于 Linux 中 iptables 升级的一些笔记
1写在前面 ---- 学习 K8s 中 kube-proxy 组件调用相关,iptables 模式 发现调用链有些特殊 怀疑是 iptables 版本太旧的问题,所以升级一下试试 关于升级是否有必要,nftables iptables-1.8.7.tar.bz2 ┌──[root@vms100.liruilongs.github.io]-[~/ansible] └─$tar -xvf iptables-1.8.7.tar nftables 一起升级有些其他的包不支持,好像需要同步升级,所以这里我直接把 nftables 排除调 ┌──[root@vms100.liruilongs.github.io]-[~/ansible/iptables /configure --disable-nftables ┌──[root@vms100.liruilongs.github.io]-[~/ansible/iptables-1.8.7] └─$ls
65830编辑于 2023-08-21 - 来自专栏软考网工笔记
【25软考网工】第七章(3) UOS Linux防火墙配置和Web应用服务配置
Linux防火墙类型 uos linux防火墙配置包含两套框架: Netfilter 较老的内核; 配置工具:firewalld、iptables、UFW(Uncomplicated Firewall) nftables 配置工具:nft 趋势:nftables在逐步取代Netfilter/iptables软件框架 考试重点:IPtables是考试重点。其他配置工具及nft与IP tables在配置上大同小异。 6) nftables nftables是一个新的数据包分类框架,在Linux内核版本高于- 13时可用。 默认情况下,它并未安装,需在使用前进行安装。 服务器版本使用yum进行安装:yum install nftables 桌面版本则使用APT get命令:apt-get install nftables 7) nftables配置 nft(Network 2.小结 类别 子类别 关键点 示例/命令 UOS Linux防火墙类型 Netfilter 较老的内核框架,逐步被nftables取代 firewalld、iptables、UFW
42510编辑于 2026-01-13
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号