当前位置: 首页 > news >正文

iptables和nftables

news 来源:原创 2024/9/25 18:46:41

什么是 nftables ? 它与 iptables 的区别是什么?

几乎每个 Linux 管理员都使用过 iptables,它是一个 Linux 系统的防火墙。但是你可能还不太熟悉 nftables,这是一个新的防火墙,可为我们提供一些必需的升级,还有可能会取代 iptables。

为什么要使用 nftables 呢?

继iptables之后的新一代包过滤框架是nftables-CSDN博客

Nftables由Netfilter组织开发,该组织目前负责维护iptables。Nftables的设计目的在于解决iptables存在的性能和可扩展性问题。

除了一些升级和更改的语法以外,nftables 的功能与 iptables 几乎相同。之所以推出 nftables 的另一个原因,是因为 iptables 的框架变的有点复杂,iptables, ip6tables, arptables 以及 ebtables 都有不同但相似的功能。

比如,在 iptables 中创建 IPv4 规则和在 ip6tables 中创建 IPv6 规则并保持两者同步是非常低效的。Nftables 旨在取代所有这些,成为一个集中的解决方案。

尽管自 2014 年以来,nftables 就被包含在 Linux 内核中,但随着采用范围的扩大,它最近越来越受欢迎。Linux 世界的变化很慢,过时的实用程序通常需要几年或更长的时间才能逐步淘汰,取而代之的是升级后的实用程序。

今天我们就简单介绍一下 nftables 和 iptables 之间的差异,并展示在新的 nftables 语法中配置防火墙规则的例子。

nftables 中的链(chains)和规则

在 iptables 中,有三个默认的链:输入、输出和转发。这三个“链”(以及其他链)包含“规则”,iptables 通过将网络流量与 链中的规则列表匹配进行工作。当正在检查的流量与所有规则都不符合时,链的默认策略(例如ACCEPT或DROP)将适用于该流量。

Nftables的工作原理与此类似,也有“链”和“规则”。然而,它一开始没有任何基础链,这使得配置更加灵活。

iptables 效率低下的一个方面是,即使流量与任何规则都不匹配,所有网络数据也必须遍历上述链中的一个或多个。即使你没有配置链路,iptables仍然会检查你的网络数据并进行处理。

在 Linux 中安装 nftables

nftables 在所有主要的 Linux 发行版中都可用,可以使用发行版的包管理器安装。

在 Ubuntu 或基于 Debian 的系统中可使用如下命令:

sudo apt install nftables

设置 nftables在系统重启的时候自动启动,可执行如下操作:

sudo systemctl enable nftables.service

iptables 和 nftables 之间的语法差异

与 iptables 相比,nftables 的语法更加简单,不过对于 iptables 中的语法,在 nftables 中也能用。

大家可使用 iptables-translate 工具,该工具接受 iptables 命令并将其转为等效的 nftables 命令,这是了解两种语法差异的一种简单方法。

使用以下命令在 Ubuntu 和基于 Debian 的发行版上安装 iptables-translate:

sudo apt install iptables-nftables-compat

安装后,你可以将 iptables 语法传递给 iptables-translate 命令,它将返回 nftables 等效命令。

下述命令将阻止来自IP地址192.168.2.1的传入连接:

上述nft命令示例中的“counter”选项告诉nftables统计规则被触碰的次数,就像默认情况下使用的iptables一样。

Netfilter

netfilter:netfilter可以理解为linux内核处理网络堆栈的一个框架,提供了钩子函数用于其它内核模块(iptables和nftables)具体实现网络数据处理方法;

iptables与nftables:iptables与nftables可以理解为具有相同功能的内核模块,作用是实现了netfilter提供的钩子函数,用于真正处理网络数据包,我们称之为防火墙软件,nftables的出现是用于替换iptables;

ufw,firewalld,iptalbes配置工具“iptables”和nftables配置工具“nft”:ufw,firewalld,iptables(这里指的是iptables配置工具,不同于iptables内核模块),nft等,这些软件是属于用户工具,用于管理iptables和nftables防火墙内核模块的,他们的作用是相同的,但执行命令和管理方式有差异。

Linux 4.19.x的内核支持nft

相关文章:

  • 北京网站建设多少钱?
  • 辽宁网页制作哪家好_网站建设
  • 高端品牌网站建设_汉中网站制作
  • 淘客系统开发之卷轴模式系统源码功能分析
  • 解锁视频生成新时代! 探索智谱CogVideoX-2b:轻松生成6秒视频的详细指南
  • ReKep——李飞飞团队提出的让机器人具备空间智能:基于视觉语言模型GPT-4o和关系关键点约束
  • C语言常见字符串函数模拟实现一:(strlen,strcpy,strcat,strcmp,strstr )
  • 最新最详细的Mastercam安装包下载安装教程(保姆级)
  • Go语言的垃圾回收(GC)机制的迭代和优化历史
  • 在HTML中添加图片
  • 使用vite+react+ts+Ant Design开发后台管理项目(二)
  • 张朝阳的物理课第三卷:量子力学的硬核探索与启发
  • 网页交互模拟:模拟用户输入、点击、选择、滚动等交互操作
  • 内外网办公环境路由配置
  • 【go/方法记录】cgo静态库编译以及使用dlv定位cgo崩溃问题
  • CNN网络训练WISDM数据集:模型仿真及可视化分析
  • 三光吊舱详解!
  • C++之 string(中)
  • “寒冬”下的金三银四跳槽季来了,帮你客观分析一下局面
  • 【162天】黑马程序员27天视频学习笔记【Day02-上】
  • Android 架构优化~MVP 架构改造
  • Apache的80端口被占用以及访问时报错403
  • CSS 三角实现
  • leetcode讲解--894. All Possible Full Binary Trees
  • orm2 中文文档 3.1 模型属性
  • springMvc学习笔记(2)
  • Unix命令
  • 初探 Vue 生命周期和钩子函数
  • 从tcpdump抓包看TCP/IP协议
  • 第2章 网络文档
  • 对象管理器(defineProperty)学习笔记
  • 免费小说阅读小程序
  • d²y/dx²; 偏导数问题 请问f1 f2是什么意思
  • 3月27日云栖精选夜读 | 从 “城市大脑”实践,瞭望未来城市源起 ...
  • ​​​​​​​Installing ROS on the Raspberry Pi
  • # Panda3d 碰撞检测系统介绍
  • #、%和$符号在OGNL表达式中经常出现
  • #多叉树深度遍历_结合深度学习的视频编码方法--帧内预测
  • #中的引用型是什么意识_Java中四种引用有什么区别以及应用场景
  • (3) cmake编译多个cpp文件
  • (Arcgis)Python编程批量将HDF5文件转换为TIFF格式并应用地理转换和投影信息
  • (创新)基于VMD-CNN-BiLSTM的电力负荷预测—代码+数据
  • (附源码)springboot 校园学生兼职系统 毕业设计 742122
  • (含笔试题)深度解析数据在内存中的存储
  • (论文阅读26/100)Weakly-supervised learning with convolutional neural networks
  • (亲测有效)解决windows11无法使用1500000波特率的问题
  • (三)centos7案例实战—vmware虚拟机硬盘挂载与卸载
  • (四)库存超卖案例实战——优化redis分布式锁
  • (循环依赖问题)学习spring的第九天
  • (一)项目实践-利用Appdesigner制作目标跟踪仿真软件
  • (转)eclipse内存溢出设置 -Xms212m -Xmx804m -XX:PermSize=250M -XX:MaxPermSize=356m
  • (转)mysql使用Navicat 导出和导入数据库
  • (转)从零实现3D图像引擎:(8)参数化直线与3D平面函数库
  • (转载)利用webkit抓取动态网页和链接
  • (自用)仿写程序
  • ****** 二十三 ******、软设笔记【数据库】-数据操作-常用关系操作、关系运算
  • ./configure,make,make install的作用(转)
  • .net core webapi 大文件上传到wwwroot文件夹