iptables和nftables

news2025/1/16 15:01:54

什么是 nftables ? 它与 iptables 的区别是什么？

几乎每个 Linux 管理员都使用过 iptables，它是一个 Linux 系统的防火墙。但是你可能还不太熟悉 nftables，这是一个新的防火墙，可为我们提供一些必需的升级，还有可能会取代 iptables。

为什么要使用 nftables 呢？

继iptables之后的新一代包过滤框架是nftables-CSDN博客

Nftables由Netfilter组织开发，该组织目前负责维护iptables。Nftables的设计目的在于解决iptables存在的性能和可扩展性问题。

除了一些升级和更改的语法以外，nftables 的功能与 iptables 几乎相同。之所以推出 nftables 的另一个原因，是因为 iptables 的框架变的有点复杂，iptables, ip6tables, arptables 以及 ebtables 都有不同但相似的功能。

比如，在 iptables 中创建 IPv4 规则和在 ip6tables 中创建 IPv6 规则并保持两者同步是非常低效的。Nftables 旨在取代所有这些，成为一个集中的解决方案。

尽管自 2014 年以来，nftables 就被包含在 Linux 内核中，但随着采用范围的扩大，它最近越来越受欢迎。Linux 世界的变化很慢，过时的实用程序通常需要几年或更长的时间才能逐步淘汰，取而代之的是升级后的实用程序。

今天我们就简单介绍一下 nftables 和 iptables 之间的差异，并展示在新的 nftables 语法中配置防火墙规则的例子。

nftables 中的链（chains）和规则

在 iptables 中，有三个默认的链：输入、输出和转发。这三个“链”（以及其他链）包含“规则”，iptables 通过将网络流量与链中的规则列表匹配进行工作。当正在检查的流量与所有规则都不符合时，链的默认策略（例如ACCEPT或DROP）将适用于该流量。

Nftables的工作原理与此类似，也有“链”和“规则”。然而，它一开始没有任何基础链，这使得配置更加灵活。

iptables 效率低下的一个方面是，即使流量与任何规则都不匹配，所有网络数据也必须遍历上述链中的一个或多个。即使你没有配置链路，iptables仍然会检查你的网络数据并进行处理。

在 Linux 中安装 nftables

nftables 在所有主要的 Linux 发行版中都可用，可以使用发行版的包管理器安装。

在 Ubuntu 或基于 Debian 的系统中可使用如下命令：

sudo apt install nftables

设置 nftables在系统重启的时候自动启动，可执行如下操作：

sudo systemctl enable nftables.service

iptables 和 nftables 之间的语法差异

与 iptables 相比，nftables 的语法更加简单，不过对于 iptables 中的语法，在 nftables 中也能用。

大家可使用 iptables-translate 工具，该工具接受 iptables 命令并将其转为等效的 nftables 命令，这是了解两种语法差异的一种简单方法。

使用以下命令在 Ubuntu 和基于 Debian 的发行版上安装 iptables-translate：

sudo apt install iptables-nftables-compat

安装后，你可以将 iptables 语法传递给 iptables-translate 命令，它将返回 nftables 等效命令。

下述命令将阻止来自IP地址192.168.2.1的传入连接：

上述nft命令示例中的“counter”选项告诉nftables统计规则被触碰的次数，就像默认情况下使用的iptables一样。

Netfilter

netfilter：netfilter可以理解为linux内核处理网络堆栈的一个框架，提供了钩子函数用于其它内核模块（iptables和nftables）具体实现网络数据处理方法；

iptables与nftables：iptables与nftables可以理解为具有相同功能的内核模块，作用是实现了netfilter提供的钩子函数，用于真正处理网络数据包，我们称之为防火墙软件，nftables的出现是用于替换iptables;

ufw，firewalld，iptalbes配置工具“iptables”和nftables配置工具“nft”：ufw，firewalld，iptables(这里指的是iptables配置工具，不同于iptables内核模块)，nft等，这些软件是属于用户工具，用于管理iptables和nftables防火墙内核模块的，他们的作用是相同的，但执行命令和管理方式有差异。