Apakah nftables?
Apakah itu nftables?
Hampir setiap pentadbir Linux telah menggunakan iptables, iaitu tembok api untuk sistem Linux. Tetapi anda mungkin tidak biasa dengan nftables, tembok api baharu yang memberikan kami beberapa peningkatan yang diperlukan dan mungkin menggantikan iptables.
Mengapa menggunakan nftables?
Nftables dibangunkan oleh organisasi Netfilter, yang pada masa ini mengekalkan iptables. Nftables direka untuk menyelesaikan masalah prestasi dan kebolehskalaan iptables.
Dengan pengecualian beberapa peningkatan dan sintaks yang diubah, nftables berfungsi hampir sama dengan iptables. Satu lagi sebab mengapa nftables diperkenalkan adalah kerana rangka kerja iptables telah menjadi sedikit rumit, ip6tables, arptables dan ebtables semuanya mempunyai fungsi yang berbeza tetapi serupa.
Contohnya, mencipta peraturan IPv4 dalam iptables dan peraturan IPv6 dalam ip6tables dan mengekalkan kedua-duanya dalam penyegerakan adalah sangat tidak cekap. Nftables bertujuan untuk menggantikan semua ini dan menjadi penyelesaian terpusat.
Walaupun nftables telah dimasukkan ke dalam kernel Linux sejak 2014, ia telah menjadi semakin popular baru-baru ini apabila penerimaan berkembang. Perubahan adalah perlahan dalam dunia Linux, dan ia selalunya mengambil masa beberapa tahun atau lebih untuk utiliti yang sudah lapuk untuk dihapuskan secara berperingkat dan digantikan dengan yang telah dinaik taraf.
Hari ini kami akan memperkenalkan secara ringkas perbezaan antara nftables dan iptables, dan menunjukkan contoh mengkonfigurasi peraturan firewall dalam sintaks nftables baharu.
Rantaian dan peraturan dalam nftables
Dalam iptables, terdapat tiga rantai lalai: input , output dan forwarding. Tiga "rantai" ini (serta rantaian lain) mengandungi "peraturan" dan iptables berfungsi dengan memadankan trafik rangkaian dengan senarai peraturan dalam rantaian. Apabila trafik yang diperiksa tidak sepadan dengan mana-mana peraturan, dasar lalai rantaian (seperti ACCEPT atau DROP) akan digunakan pada trafik.
Nftables berfungsi sama, dengan "rantaian" dan "peraturan". Walau bagaimanapun, ia bermula tanpa sebarang rantaian asas, yang menjadikan konfigurasi lebih fleksibel.
Satu aspek ketidakcekapan iptables ialah semua data rangkaian mesti merentasi satu atau lebih rantai di atas, walaupun trafik tidak sepadan dengan mana-mana peraturan. Walaupun anda tidak mengkonfigurasi pautan, iptables masih akan memeriksa data rangkaian anda dan memprosesnya.
Memasang nftable dalam Linux
nftables tersedia dalam semua pengedaran Linux utama, anda boleh menggunakan versi pengedaran pengurus pakej untuk dipasang.
Dalam sistem berasaskan Ubuntu atau Debian, anda boleh menggunakan arahan berikut:
sudo apt install nftables
Tetapkan nftables untuk bermula secara automatik apabila sistem dimulakan semula, boleh laku Lakukan seperti berikut:
sudo systemctl enable nftables.service
Perbezaan sintaks antara iptables dan nftables
Sintaks nftables berbanding iptables It' , tetapi sintaks dalam iptables juga boleh digunakan dalam nftables.
Anda boleh menggunakan alat iptables-translate, yang mengambil arahan iptables dan menterjemahkannya ke dalam arahan nftables yang setara, yang merupakan cara mudah untuk memahami perbezaan antara kedua-dua sintaks.
Pasang iptables-translate pada pengedaran berasaskan Ubuntu dan Debian menggunakan arahan berikut:
sudo apt install iptables-nftables-compat
Selepas pemasangan, anda boleh menukar iptables-translate kepada Diluluskan kepada perintah iptables-translate, ia mengembalikan perintah setara nftables.
Mari kita lihat beberapa contoh sintaks khusus di bawah.
Sekat sambungan masuk
Arahan berikut akan menyekat sambungan masuk daripada alamat IP 192.168.2.1:
$ iptables-translate -A INPUT -s 192.168.2.1 -j DROPnft add rule ip filter INPUT ip saddr 192.168.2.1 counter drop
Benarkan sambungan SSH masuk
Keluarkan kebenaran sambungan ssh:
$ iptables-translate -A INPUT -p tcp --dport 22 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPTnft add rule ip filter INPUT tcp dport 22 ct state new,established counter accept
Benarkan sambungan SSH masuk dari julat IP tertentu
Jika anda hanya mahu membenarkan sambungan SSH masuk dari 192.168.1.0/24:
$ iptables-translate -A INPUT -p tcp -s 192.168.1.0/24 --dport 22 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPTnft add rule ip filter INPUT ip saddr 192.168.1.0/24 tcp dport 22 ct state new,established counter accept
允许MySQL连接到eth0网络接口
$ iptables-translate -A INPUT -i eth0 -p tcp --dport 3306 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPTnft add rule ip filter INPUT iifname eth0 tcp dport 3306ct state new,established counter accept
允许传入HTTP和HTTPS流量
为了允许特定类型的流量,以下是这两个命令的语法:
$ iptables-translate -A INPUT -p tcp -m multiport --dports 80,443 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPTnft add rule ip filter INPUT ip protocol tcp tcp dport { 80,443} ct state new,established counter accept
从这些例子中可以看出,nftables 语法与 iptables 非常相似,但命令更直观一些。
nftables 日志
上述nft命令示例中的“counter”选项告诉nftables统计规则被触碰的次数,就像默认情况下使用的iptables一样。
在nftables中,需要指定:
nft add rule ip filter INPUT ip saddr 192.168.2.1 counter accept
nftables内置了用于导出配置的选项。它目前支持XML和JSON。
nft export xml
Atas ialah kandungan terperinci Apakah nftables?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!

Alat AI Hot

Undresser.AI Undress
Apl berkuasa AI untuk mencipta foto bogel yang realistik

AI Clothes Remover
Alat AI dalam talian untuk mengeluarkan pakaian daripada foto.

Undress AI Tool
Gambar buka pakaian secara percuma

Clothoff.io
Penyingkiran pakaian AI

Video Face Swap
Tukar muka dalam mana-mana video dengan mudah menggunakan alat tukar muka AI percuma kami!

Artikel Panas

Alat panas

Notepad++7.3.1
Editor kod yang mudah digunakan dan percuma

SublimeText3 versi Cina
Versi Cina, sangat mudah digunakan

Hantar Studio 13.0.1
Persekitaran pembangunan bersepadu PHP yang berkuasa

Dreamweaver CS6
Alat pembangunan web visual

SublimeText3 versi Mac
Perisian penyuntingan kod peringkat Tuhan (SublimeText3)

Topik panas

Pada AlpineLinux, anda boleh menggunakan alat iptables untuk mengkonfigurasi dan mengurus peraturan firewall. Berikut ialah langkah asas untuk mendayakan atau melumpuhkan firewall pada AlpineLinux: Semak status firewall: sudoiptables -L Jika output menunjukkan peraturan (contohnya, terdapat beberapa peraturan INPUT, OUTPUT atau FORWARD), firewall didayakan. Jika output kosong, tembok api dilumpuhkan pada masa ini. Dayakan tembok api: sudoiptables-PINPUTACCEPTsudoiptables-POUTPUTACCEPTsudoiptables-PFORWARDAC

Apakah nftables? Bagaimana ia berbeza daripada iptables? Hampir setiap pentadbir Linux telah menggunakan iptables, yang merupakan tembok api untuk sistem Linux. Tetapi anda mungkin tidak biasa dengan nftables, iaitu tembok api baharu yang memberikan kami beberapa peningkatan yang diperlukan dan mungkin menggantikan iptables. Mengapa menggunakan nftables? nftables telah dibangunkan oleh Netfilter, organisasi yang kini menyelenggara iptables. nftables dicipta untuk menyelesaikan beberapa masalah prestasi dan penskalaan dengan iptables. Selain sintaks baharu dan beberapa peningkatan, nftables mempunyai fungsi yang sama seperti iptab

Dalam sistem Linux, iptables ialah alat yang digunakan untuk mengkonfigurasi dan mengurus peraturan penapisan paket rangkaian Ia membenarkan pengguna menapis paket yang masuk dan keluar rangkaian mengikut peraturan pratetap, dengan itu merealisasikan kawalan akses rangkaian, pemajuan paket, dsb. Fungsi, dalam sistem Debian. , iptables dipasang secara lalai, tetapi jika ia tidak dipasang, anda perlu memasangnya secara manual Artikel ini akan memperkenalkan cara memasang iptables di bawah Debian dan mengkonfigurasi peraturan yang berkaitan. Pasang iptables1. Buka terminal dan log masuk sebagai pengguna root. 2. Jalankan arahan berikut untuk memasang iptables: ```shellsudoapt-getupdatesudoapt-ge

Penjejakan sambungan adalah asas kepada banyak aplikasi web. Contohnya, Perkhidmatan Kubernetes, sidecar ServiceMesh, pengimbang beban empat lapisan perisian LVS/IPVS, rangkaian Docker, OVS, firewall hos iptables, dll., semuanya bergantung pada fungsi penjejakan sambungan.

Kedua-dua iptables dan Firewalld dalam sistem Linux adalah alat untuk mengkonfigurasi peraturan firewall Mereka mempunyai beberapa perbezaan dalam fungsi dan kaedah penggunaan: iptables: iptables ialah alat firewall yang paling klasik dan tradisional dalam sistem Linux secara lalai alat konfigurasi firewall. Iptables adalah berdasarkan rangka kerja netfilter ruang kernel dan menapis serta memproses paket data rangkaian dengan mengendalikan secara langsung jadual peraturan iptables dalam kernel. iptables menggunakan konsep rantai peraturan dan jadual untuk mengatur dan mengurus peraturan tembok api, seperti penapis biasa

Berikut ialah tutorial konfigurasi tembok api Linux ringkas, meliputi dua alat tembok api yang biasa digunakan: iptables dan firewalld. iptables ialah salah satu alat firewall yang paling biasa digunakan di Linux, dan firewalld ialah alat pengurusan firewall lalai dalam CentOS7 dan derivatifnya. konfigurasi firewall iptables: Lihat peraturan firewall semasa: iptables -L -n Kosongkan peraturan firewall semasa: iptables -F Benarkan sambungan masuk pada port tertentu: iptables-AINPUT-p--dport-jACCEPT Contohnya, benarkan port 80 protokol TCP

1: Preface Firewall, secara terang-terangan, digunakan untuk melaksanakan fungsi kawalan akses di bawah Linux Ia dibahagikan kepada dua jenis: firewall perkakasan atau perisian. Tidak kira rangkaian mana anda berada, tempat di mana tembok api berfungsi mestilah di pinggir rangkaian. Tugas kami adalah untuk mentakrifkan cara tembok api berfungsi Ini adalah dasar dan peraturan tembok api, supaya ia boleh mengesan IP dan data masuk dan keluar dari rangkaian. Pada masa ini, tembok api yang lebih biasa di pasaran termasuk dinding api lapisan 3 dan lapisan 4, yang dipanggil tembok api lapisan rangkaian dan tembok api lapisan 7, yang sebenarnya merupakan pintu masuk pada lapisan proksi. Untuk model tujuh lapisan TCP/IP, kita tahu bahawa lapisan ketiga ialah lapisan rangkaian, dan tembok api tiga lapisan akan mengesan alamat sumber dan alamat destinasi pada lapisan ini. Tetapi untuk tembok api tujuh lapisan, tidak

Semua orang tahu bahawa dalam Kubernetes, kube-proxy ialah proksi rangkaian Tanggungjawab utamanya ialah menyediakan fungsi pengimbangan beban dan penemuan perkhidmatan untuk perkhidmatan dalam kelompok. kube-proxy mempunyai mod pengendalian yang berbeza, antaranya mod iptables dan mod ipvs adalah dua mod biasa. Dalam mod iptables, kube-proxy melaksanakan pengimbangan beban dan penemuan perkhidmatan melalui peraturan iptables, manakala mod ipvs menggunakan teknologi IPVS (IPVirtualServer) dalam kernel Linux untuk mencapai pengimbangan beban yang lebih cekap. Memilih mod yang sesuai bergantung pada keperluan kluster anda dan keperluan prestasi. mod iptables sesuai untuk set kecil
