nftables 实战:从零构建你的 Linux 网络防护墙
1. 为什么你需要nftables防火墙?
第一次接触Linux防火墙时,我像大多数人一样从iptables开始。但很快发现,写个简单的端口放行规则都要好几条命令,配置文件像天书一样难懂。直到遇到nftables,才发现原来防火墙可以这么优雅。
nftables是Linux内核3.13版本引入的全新防火墙框架,它用一套语法统一了原先分散的iptables/ip6tables/arptables等工具。我自己的家用服务器从iptables迁移到nftables后,规则行数减少了60%,CPU占用降低了15%,最关键是配置文件终于能看懂了!
举个真实场景:假设你要开放SSH和HTTP服务,同时阻止某个恶意IP。用iptables需要写4条规则,而nftables只需要1条复合规则。这种效率提升在管理云服务器集群时尤其明显,我曾经用nftables的批量编辑功能,在5分钟内完成了20台服务器的防火墙策略同步。
2. 快速安装与基础配置
2.1 跨发行版安装指南
在Ubuntu 22.04上安装只需:
sudo apt update && sudo apt install nftables -yCentOS 8/Stream用户则用:
sudo dnf install nftables安装后启动服务并设置开机自启:
sudo systemctl enable --now nftables这里有个实际使用中的坑要注意:某些云主机厂商的模版系统可能预装了iptables服务。记得先停用旧服务:
sudo systemctl stop iptables && sudo systemctl disable iptables sudo systemctl stop ip6tables && sudo systemctl disable ip6tables2.2 你的第一条防火墙规则
我们先来个"Hello World"级别的示例:
sudo nft add table inet filter # 创建表 sudo nft add chain inet filter input { type filter hook input priority 0 \; } # 创建链 sudo nft add rule inet filter input tcp dport 22 accept # 放行SSH这三条命令构建了最基础的防火墙:
- 创建名为filter的表(相当于工作区)
- 创建input链并绑定到网络输入钩子
- 添加规则允许TCP 22端口流量
查看当前规则集:
sudo nft list ruleset3. 实战:构建家庭服务器防火墙
3.1 基础防护策略
我的家庭服务器防护方案包含这些核心规则:
# 允许已建立的连接 sudo nft add rule inet filter input ct state established,related accept # 放行常见服务 sudo nft add rule inet filter input tcp dport { 22, 80, 443 } accept # 阻止无效数据包 sudo nft add rule inet filter input ct state invalid drop # 默认拒绝策略 sudo nft add rule inet filter input drop这个配置实现了:
- 放行SSH(22)、HTTP(80)、HTTPS(443)
- 自动允许已建立的连接(不会打断现有会话)
- 阻止畸形数据包
- 默认拒绝所有其他入站连接
3.2 防暴力破解技巧
针对SSH暴力破解,我增加了频率限制:
sudo nft add set inet filter ssh_blacklist { type ipv4_addr \; flags timeout \; } sudo nft add rule inet filter input tcp dport 22 \ meter ssh_ratelimit { ip saddr limit rate 5/minute } \ add @ssh_blacklist { ip saddr timeout 1h } \ drop这段规则会:
- 创建带超时的IP集合
- 每分钟超过5次SSH连接尝试的IP
- 将这些IP加入黑名单1小时
- 立即丢弃其数据包
实测这个方案让我的服务器SSH日志里的垃圾尝试减少了90%。
4. 高级应用:NAT与端口转发
4.1 家庭网络共享上网
我的树莓派作为家庭网关时,配置了以下NAT规则:
sudo nft add table ip nat sudo nft add chain ip nat prerouting { type nat hook prerouting priority 0 \; } sudo nft add chain ip nat postrouting { type nat hook postrouting priority 100 \; } # 启用IP伪装(MASQUERADE) sudo nft add rule ip nat postrouting oifname "eth0" masquerade关键点解释:
prerouting链处理进入的数据包postrouting链处理发出的数据包masquerade会自动处理动态IP的情况
4.2 内网服务暴露
将内网NAS的HTTP服务映射到公网:
sudo nft add rule ip nat prerouting \ iifname "eth0" tcp dport 8080 \ dnat to 192.168.1.100:80这条规则实现:
- 从eth0接口进入的8080端口流量
- 转发到内网192.168.1.100的80端口
5. 规则优化与调试技巧
5.1 使用命名集合提升效率
当需要管理大量IP时,集合(set)特别有用:
sudo nft add set inet filter allowed_ips { type ipv4_addr \; } sudo nft add element inet filter allowed_ips { 192.168.1.5, 192.168.1.20 } sudo nft add rule inet filter input ip saddr @allowed_ips accept这样维护白名单时只需更新集合,不用修改规则本身。
5.2 日志记录与监控
排查规则匹配问题时,我常用日志功能:
sudo nft add rule inet filter input \ tcp dport 3306 \ log prefix "MySQL_attempt: " \ level warn \ drop然后在日志中查看匹配记录:
journalctl -kf | grep MySQL_attempt6. 持久化与备份策略
6.1 配置文件管理
我习惯将规则保存在/etc/nftables.conf:
sudo nft list ruleset > /etc/nftables.conf然后编辑/etc/nftables.conf,添加注释和空行提高可读性:
#!/usr/sbin/nft -f # 清空现有规则 flush ruleset # 定义filter表 table inet filter { # 输入链 chain input { type filter hook input priority 0 # 允许本地回环 iif "lo" accept # 放行SSH tcp dport 22 accept } }6.2 版本控制实践
我把防火墙配置纳入Git管理:
sudo mkdir /etc/nftables sudo mv /etc/nftables.conf /etc/nftables/rules.nft sudo git init /etc/nftables每次修改后提交:
cd /etc/nftables sudo git add . sudo git commit -m "添加SSH频率限制规则"这样能轻松回滚到任意版本。