使用Nftables 低成本高效率转发

airski

看到好几次流量转发的帖子, 2020年了, 闲着学习了一下Nftables,  基于包的策略, 理论转发效率要比应用层的软件 haproxy socat 之类的好N倍.


[ol]

#!/usr/sbin/nft -f

delete table ip nat

table ip nat {

   

        map port_to_ip {

                type inet_service : ipv4_addr

                elements = {

                      1000: 192.168.1.1  

           }

        }

        map port_to_port {

                type inet_service : inet_service

                elements = {

                      1000: 1000

           }

        }

        chain prerouting {

                type nat hook prerouting priority 100; policy accept;

                dnat to tcp dport map @port_to_ip:tcp dport map @port_to_port

                dnat to udp dport map @port_to_ip:udp dport map @port_to_port

        }

        chain postrouting {

                type nat hook postrouting priority 100; policy accept;

                masquerade random,persistent

        }

}

[/ol]复制代码

使用方法:

1. 安装nftables
2. 保存以上的code, 记得编辑 port_to_ip, port_to_port. 2个数据表为 转发端口对应目标节点, 转发端口对应目标端口.
3. 加载 `nft -f xxx`


特别提醒, 安装了docker机器慎用

tamicrealo

习惯iptables

guonning2000

可以试试

why?

haproxy 已经很好了吧 ,真这么吊？

airski

why? 发表于 2020-2-11 21:33

haproxy 已经很好了吧 ,真这么吊？
理论理论. 不负责任理论盲说.

不考虑缓存的话, 内核包处理还是比较快的吧.

HaoLan

某大神说，多数kernel都没有编译完整nftables的功能，需要自己编译。而且我个人不推荐使用yum安装，最好编译最新版本，yum安装的nftables会有缩进问题。其次，这玩意效率和haproxy还是很难比的，不过转发超过500Mbps的CPU占用相当低，是haproxy几十分之一

why?

airski 发表于 2020-2-11 21:38

理论理论. 不负责任理论盲说.

不考虑缓存的话, 内核包处理还是比较快的吧. ...
我纯小白瞎说，我记得好像说haproxy好像媲美硬件级设备的，改天试试

why?

"

真大佬

logo

mark

buzz

iptables直接转行不行