立即注册  找回密码
 立即注册
CeraNetworksBGVM服务器主机交流会员请立即修改密码Sharktech防护
查看: 19|回复: 1

【Linux 防火墙】nftables 简单上手

[复制链接]

【Linux 防火墙】nftables 简单上手

[复制链接]

7

主题

12

回帖

193

积分

注册会员

积分
193
黎东林

7

主题

12

回帖

193

积分

注册会员

积分
193
2022-5-23 01:36:44 | 显示全部楼层 |阅读模式
Debian 11 已自带 nftables,为 iptables 原团队研发的新一代 netfilter 解释器/命令行,性能更高效,命令行更直观,建议代替 iptables 使用。

官方Wiki:https://wiki.nftables.org

简单记录一下我习惯启用基本 nftables 的步骤:

1. mkdir /etc/nftables
2. vim /etc/nftables/default.nft

#!/usr/sbin/nft -f

flush ruleset

table ip default {

  chain input {

    type filter hook input priority 0; policy drop;

    iif lo accept
    ct state established, related accept

    # ping
    icmp type echo-request limit rate 500/second accept

    # SSH
    tcp dport 22 accept

    # Nginx
    #tcp dport { 80, 443 } accept
  }

  chain forward {

    type filter hook forward priority 0; policy drop;

    ct status dnat accept
  }
}

table ip6 default {

  chain input {

    type filter hook input priority 0; policy drop;

    iif lo accept
    ct state established, related accept

    icmpv6 type { nd-nei**or-solicit, nd-router-advert, nd-nei**or-advert } accept

    # ping
    icmpv6 type echo-request limit rate 500/second accept
  }

  chain forward {

    type filter hook forward priority 0; policy drop;

    ct status dnat accept
  }
}

3. vim /etc/nftables.conf

include "/etc/nftables/default.nft"

4. systemctl start nftables
5. systemctl enable nftables
6. systemctl restart nftables
7. 如有报错 systemctl status nftables 检查错误报告

8. 端口转发示例

table ip default {

  chain input {

    type filter hook input priority 0; policy drop;

    iif lo accept
    ct state established, related accept

    # ping
    icmp type echo-request limit rate 500/second accept

    # SSH
    tcp dport 22 accept
  }

  chain forward {

    type filter hook forward priority 0; policy drop;

    ct status dnat accept
  }

  chain prerouting {

    type nat hook prerouting priority -100; policy accept;

    iif eth0 tcp dport 443 dnat to ip 目的地:port 端口
  }

  chain postrouting {

    type nat hook postrouting priority 100; policy accept;

    masquerade
  }
}

完。
回复

使用道具 举报

8

主题

965

回帖

2668

积分

金牌会员

积分
2668
zhujizixun

8

主题

965

回帖

2668

积分

金牌会员

积分
2668
2022-5-23 01:39:56 | 显示全部楼层
nftables天下第一!好用且强大,主机资讯帮顶。
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver|小黑屋|HS2V主机综合交流论坛

GMT+8, 2024-12-23 19:09 , Processed in 0.015811 second(s), 4 queries , Gzip On, Redis On.

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表