Apakah nftables?

Jun 09, 2023 pm 09:34 PM
iptables nftables

什么是 nftables ? 它与 iptables 的区别是什么?

Apakah itu nftables?

Hampir setiap pentadbir Linux telah menggunakan iptables, iaitu tembok api untuk sistem Linux. Tetapi anda mungkin tidak biasa dengan nftables, tembok api baharu yang memberikan kami beberapa peningkatan yang diperlukan dan mungkin menggantikan iptables.

Mengapa menggunakan nftables?

Nftables dibangunkan oleh organisasi Netfilter, yang pada masa ini mengekalkan iptables. Nftables direka untuk menyelesaikan masalah prestasi dan kebolehskalaan iptables.

Dengan pengecualian beberapa peningkatan dan sintaks yang diubah, nftables berfungsi hampir sama dengan iptables. Satu lagi sebab mengapa nftables diperkenalkan adalah kerana rangka kerja iptables telah menjadi sedikit rumit, ip6tables, arptables dan ebtables semuanya mempunyai fungsi yang berbeza tetapi serupa.

Contohnya, mencipta peraturan IPv4 dalam iptables dan peraturan IPv6 dalam ip6tables dan mengekalkan kedua-duanya dalam penyegerakan adalah sangat tidak cekap. Nftables bertujuan untuk menggantikan semua ini dan menjadi penyelesaian terpusat.

Walaupun nftables telah dimasukkan ke dalam kernel Linux sejak 2014, ia telah menjadi semakin popular baru-baru ini apabila penerimaan berkembang. Perubahan adalah perlahan dalam dunia Linux, dan ia selalunya mengambil masa beberapa tahun atau lebih untuk utiliti yang sudah lapuk untuk dihapuskan secara berperingkat dan digantikan dengan yang telah dinaik taraf.

Hari ini kami akan memperkenalkan secara ringkas perbezaan antara nftables dan iptables, dan menunjukkan contoh mengkonfigurasi peraturan firewall dalam sintaks nftables baharu.

Rantaian dan peraturan dalam nftables

Dalam iptables, terdapat tiga rantai lalai: input , output dan forwarding. Tiga "rantai" ini (serta rantaian lain) mengandungi "peraturan" dan iptables berfungsi dengan memadankan trafik rangkaian dengan senarai peraturan dalam rantaian. Apabila trafik yang diperiksa tidak sepadan dengan mana-mana peraturan, dasar lalai rantaian (seperti ACCEPT atau DROP) akan digunakan pada trafik.

Nftables berfungsi sama, dengan "rantaian" dan "peraturan". Walau bagaimanapun, ia bermula tanpa sebarang rantaian asas, yang menjadikan konfigurasi lebih fleksibel.

Satu aspek ketidakcekapan iptables ialah semua data rangkaian mesti merentasi satu atau lebih rantai di atas, walaupun trafik tidak sepadan dengan mana-mana peraturan. Walaupun anda tidak mengkonfigurasi pautan, iptables masih akan memeriksa data rangkaian anda dan memprosesnya.

Memasang nftable dalam Linux

nftables tersedia dalam semua pengedaran Linux utama, anda boleh menggunakan versi pengedaran pengurus pakej untuk dipasang.

Dalam sistem berasaskan Ubuntu atau Debian, anda boleh menggunakan arahan berikut:

sudo apt install nftables
Salin selepas log masuk

Tetapkan nftables untuk bermula secara automatik apabila sistem dimulakan semula, boleh laku Lakukan seperti berikut:

sudo systemctl enable nftables.service
Salin selepas log masuk

Perbezaan sintaks antara iptables dan nftables

Sintaks nftables berbanding iptables It' , tetapi sintaks dalam iptables juga boleh digunakan dalam nftables.

Anda boleh menggunakan alat iptables-translate, yang mengambil arahan iptables dan menterjemahkannya ke dalam arahan nftables yang setara, yang merupakan cara mudah untuk memahami perbezaan antara kedua-dua sintaks.

Pasang iptables-translate pada pengedaran berasaskan Ubuntu dan Debian menggunakan arahan berikut:

sudo apt install iptables-nftables-compat
Salin selepas log masuk

Selepas pemasangan, anda boleh menukar iptables-translate kepada Diluluskan kepada perintah iptables-translate, ia mengembalikan perintah setara nftables.

Mari kita lihat beberapa contoh sintaks khusus di bawah.

Sekat sambungan masuk

Arahan berikut akan menyekat sambungan masuk daripada alamat IP 192.168.2.1:

$ iptables-translate -A INPUT -s 192.168.2.1 -j DROPnft add rule ip filter INPUT ip saddr 192.168.2.1 counter drop
Salin selepas log masuk

Benarkan sambungan SSH masuk

Keluarkan kebenaran sambungan ssh:

$ iptables-translate -A INPUT -p tcp --dport 22 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPTnft add rule ip filter INPUT tcp dport 22 ct state new,established counter accept
Salin selepas log masuk

Benarkan sambungan SSH masuk dari julat IP tertentu

Jika anda hanya mahu membenarkan sambungan SSH masuk dari 192.168.1.0/24:

$ iptables-translate -A INPUT -p tcp -s 192.168.1.0/24 --dport 22 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPTnft add rule ip filter INPUT ip saddr 192.168.1.0/24 tcp dport 22 ct state new,established counter accept
Salin selepas log masuk

允许MySQL连接到eth0网络接口

$ iptables-translate -A INPUT -i eth0 -p tcp --dport 3306 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPTnft add rule ip filter INPUT iifname eth0 tcp dport 3306ct state new,established counter accept
Salin selepas log masuk

允许传入HTTP和HTTPS流量

为了允许特定类型的流量,以下是这两个命令的语法:

$ iptables-translate -A INPUT -p tcp -m multiport --dports 80,443 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPTnft add rule ip filter INPUT ip protocol tcp tcp dport { 80,443} ct state new,established counter accept
Salin selepas log masuk

从这些例子中可以看出,nftables 语法与 iptables 非常相似,但命令更直观一些。

nftables 日志

上述nft命令示例中的“counter”选项告诉nftables统计规则被触碰的次数,就像默认情况下使用的iptables一样。

在nftables中,需要指定:

nft add rule ip filter INPUT ip saddr 192.168.2.1 counter accept
Salin selepas log masuk

nftables内置了用于导出配置的选项。它目前支持XML和JSON。

nft export xml
Salin selepas log masuk

Atas ialah kandungan terperinci Apakah nftables?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!

Kenyataan Laman Web ini
Kandungan artikel ini disumbangkan secara sukarela oleh netizen, dan hak cipta adalah milik pengarang asal. Laman web ini tidak memikul tanggungjawab undang-undang yang sepadan. Jika anda menemui sebarang kandungan yang disyaki plagiarisme atau pelanggaran, sila hubungi admin@php.cn

Alat AI Hot

Undresser.AI Undress

Undresser.AI Undress

Apl berkuasa AI untuk mencipta foto bogel yang realistik

AI Clothes Remover

AI Clothes Remover

Alat AI dalam talian untuk mengeluarkan pakaian daripada foto.

Undress AI Tool

Undress AI Tool

Gambar buka pakaian secara percuma

Clothoff.io

Clothoff.io

Penyingkiran pakaian AI

Video Face Swap

Video Face Swap

Tukar muka dalam mana-mana video dengan mudah menggunakan alat tukar muka AI percuma kami!

Alat panas

Notepad++7.3.1

Notepad++7.3.1

Editor kod yang mudah digunakan dan percuma

SublimeText3 versi Cina

SublimeText3 versi Cina

Versi Cina, sangat mudah digunakan

Hantar Studio 13.0.1

Hantar Studio 13.0.1

Persekitaran pembangunan bersepadu PHP yang berkuasa

Dreamweaver CS6

Dreamweaver CS6

Alat pembangunan web visual

SublimeText3 versi Mac

SublimeText3 versi Mac

Perisian penyuntingan kod peringkat Tuhan (SublimeText3)

Bagaimana untuk mendayakan atau melumpuhkan firewall pada Alpine Linux? Bagaimana untuk mendayakan atau melumpuhkan firewall pada Alpine Linux? Feb 21, 2024 pm 12:45 PM

Pada AlpineLinux, anda boleh menggunakan alat iptables untuk mengkonfigurasi dan mengurus peraturan firewall. Berikut ialah langkah asas untuk mendayakan atau melumpuhkan firewall pada AlpineLinux: Semak status firewall: sudoiptables -L Jika output menunjukkan peraturan (contohnya, terdapat beberapa peraturan INPUT, OUTPUT atau FORWARD), firewall didayakan. Jika output kosong, tembok api dilumpuhkan pada masa ini. Dayakan tembok api: sudoiptables-PINPUTACCEPTsudoiptables-POUTPUTACCEPTsudoiptables-PFORWARDAC

Apakah nftables? Apakah nftables? Jun 09, 2023 pm 09:34 PM

Apakah nftables? Bagaimana ia berbeza daripada iptables? Hampir setiap pentadbir Linux telah menggunakan iptables, yang merupakan tembok api untuk sistem Linux. Tetapi anda mungkin tidak biasa dengan nftables, iaitu tembok api baharu yang memberikan kami beberapa peningkatan yang diperlukan dan mungkin menggantikan iptables. Mengapa menggunakan nftables? nftables telah dibangunkan oleh Netfilter, organisasi yang kini menyelenggara iptables. nftables dicipta untuk menyelesaikan beberapa masalah prestasi dan penskalaan dengan iptables. Selain sintaks baharu dan beberapa peningkatan, nftables mempunyai fungsi yang sama seperti iptab

panduan pemasangan dan konfigurasi iptables di bawah Debian panduan pemasangan dan konfigurasi iptables di bawah Debian Feb 15, 2024 am 08:30 AM

Dalam sistem Linux, iptables ialah alat yang digunakan untuk mengkonfigurasi dan mengurus peraturan penapisan paket rangkaian Ia membenarkan pengguna menapis paket yang masuk dan keluar rangkaian mengikut peraturan pratetap, dengan itu merealisasikan kawalan akses rangkaian, pemajuan paket, dsb. Fungsi, dalam sistem Debian. , iptables dipasang secara lalai, tetapi jika ia tidak dipasang, anda perlu memasangnya secara manual Artikel ini akan memperkenalkan cara memasang iptables di bawah Debian dan mengkonfigurasi peraturan yang berkaitan. Pasang iptables1. Buka terminal dan log masuk sebagai pengguna root. 2. Jalankan arahan berikut untuk memasang iptables: ```shellsudoapt-getupdatesudoapt-ge

Tidak tahu cara menggunakan perisian tembok api Linux IPtables! Apakah jenis orang operasi dan penyelenggaraan anda? Tidak tahu cara menggunakan perisian tembok api Linux IPtables! Apakah jenis orang operasi dan penyelenggaraan anda? Aug 01, 2023 pm 05:36 PM

Penjejakan sambungan adalah asas kepada banyak aplikasi web. Contohnya, Perkhidmatan Kubernetes, sidecar ServiceMesh, pengimbang beban empat lapisan perisian LVS/IPVS, rangkaian Docker, OVS, firewall hos iptables, dll., semuanya bergantung pada fungsi penjejakan sambungan.

Apakah perbezaan antara iptables dan Firewalld firewall dalam sistem Linux? Apakah perbezaan antara iptables dan Firewalld firewall dalam sistem Linux? Feb 19, 2024 pm 05:18 PM

Kedua-dua iptables dan Firewalld dalam sistem Linux adalah alat untuk mengkonfigurasi peraturan firewall Mereka mempunyai beberapa perbezaan dalam fungsi dan kaedah penggunaan: iptables: iptables ialah alat firewall yang paling klasik dan tradisional dalam sistem Linux secara lalai alat konfigurasi firewall. Iptables adalah berdasarkan rangka kerja netfilter ruang kernel dan menapis serta memproses paket data rangkaian dengan mengendalikan secara langsung jadual peraturan iptables dalam kernel. iptables menggunakan konsep rantai peraturan dan jadual untuk mengatur dan mengurus peraturan tembok api, seperti penapis biasa

Tutorial terperinci tentang konfigurasi tembok api Linux (iptables dan firewalld). Tutorial terperinci tentang konfigurasi tembok api Linux (iptables dan firewalld). Feb 19, 2024 pm 12:36 PM

Berikut ialah tutorial konfigurasi tembok api Linux ringkas, meliputi dua alat tembok api yang biasa digunakan: iptables dan firewalld. iptables ialah salah satu alat firewall yang paling biasa digunakan di Linux, dan firewalld ialah alat pengurusan firewall lalai dalam CentOS7 dan derivatifnya. konfigurasi firewall iptables: Lihat peraturan firewall semasa: iptables -L -n Kosongkan peraturan firewall semasa: iptables -F Benarkan sambungan masuk pada port tertentu: iptables-AINPUT-p--dport-jACCEPT Contohnya, benarkan port 80 protokol TCP

Analisis mendalam tentang cara menggunakan iptables di bawah CentOS Analisis mendalam tentang cara menggunakan iptables di bawah CentOS Jan 11, 2024 pm 05:27 PM

1: Preface Firewall, secara terang-terangan, digunakan untuk melaksanakan fungsi kawalan akses di bawah Linux Ia dibahagikan kepada dua jenis: firewall perkakasan atau perisian. Tidak kira rangkaian mana anda berada, tempat di mana tembok api berfungsi mestilah di pinggir rangkaian. Tugas kami adalah untuk mentakrifkan cara tembok api berfungsi Ini adalah dasar dan peraturan tembok api, supaya ia boleh mengesan IP dan data masuk dan keluar dari rangkaian. Pada masa ini, tembok api yang lebih biasa di pasaran termasuk dinding api lapisan 3 dan lapisan 4, yang dipanggil tembok api lapisan rangkaian dan tembok api lapisan 7, yang sebenarnya merupakan pintu masuk pada lapisan proksi. Untuk model tujuh lapisan TCP/IP, kita tahu bahawa lapisan ketiga ialah lapisan rangkaian, dan tembok api tiga lapisan akan mengesan alamat sumber dan alamat destinasi pada lapisan ini. Tetapi untuk tembok api tujuh lapisan, tidak

Bagaimana untuk menggantikan Iptables dengan Ipvs dalam kelompok Kubernetes Bagaimana untuk menggantikan Iptables dengan Ipvs dalam kelompok Kubernetes Mar 02, 2024 am 11:58 AM

Semua orang tahu bahawa dalam Kubernetes, kube-proxy ialah proksi rangkaian Tanggungjawab utamanya ialah menyediakan fungsi pengimbangan beban dan penemuan perkhidmatan untuk perkhidmatan dalam kelompok. kube-proxy mempunyai mod pengendalian yang berbeza, antaranya mod iptables dan mod ipvs adalah dua mod biasa. Dalam mod iptables, kube-proxy melaksanakan pengimbangan beban dan penemuan perkhidmatan melalui peraturan iptables, manakala mod ipvs menggunakan teknologi IPVS (IPVirtualServer) dalam kernel Linux untuk mencapai pengimbangan beban yang lebih cekap. Memilih mod yang sesuai bergantung pada keperluan kluster anda dan keperluan prestasi. mod iptables sesuai untuk set kecil

See all articles