Linux NFTables防火墙配置步骤与使用指南

免费影视、动漫、音乐、游戏、小说资源长期稳定更新！ 👉 点此立即查看 👈

提到Linux防火墙，现在绕不开nft了。它已经取代iptables，成为主流发行版的默认选择。别被“下一代防火墙”这个名头唬住，它并非碘伏性的新事物，更像是把旧工具的逻辑彻底重构了一遍，变得更干净、更统一。对于新手来说，最快的学习路径不是啃完所有语法，而是直接动手配置，在操作中理解。

怎么快速建一个能用的 filter 表

大部分场景下，我们只需要管理入站流量，比如只开放SSH端口，其他一概拒绝。这时候，使用inet地址簇是最省心的选择，它能同时处理IPv4和IPv6，避免为两种协议写两套重复的规则。

搭建一个基础防火墙，四步就够了：

• 创建表：nft add table inet filter
• 添加基链：nft add chain inet filter input { type filter hook input priority 0 \; policy drop \; }。这里有个细节要注意，末尾的反斜杠和分号是Shell环境下的转义要求。policy drop将默认策略设为拒绝，这是构建安全规则的最佳起点。
• 放行回环接口：nft add rule inet filter input iifname "lo" accept
• 允许已建立的连接：nft add rule inet filter input ct state established,related accept（这里的ct是conntrack的缩写）

执行完这四条命令，运行nft list ruleset就能看到完整的规则结构了。不过，这时候SSH还连不上——因为还没有明确放行22端口，这一点和iptables的逻辑是一致的。

为什么 tcp dport 22 accept 有时不生效

一个常见的问题是：明明添加了SSH端口规则，连接却依然失败。nft list ruleset显示规则存在，ss -tlnp | grep :22也确认sshd服务在监听。问题往往出在细节上。

首先，tcp dport 22只匹配TCP协议。虽然极其罕见，但如果客户端的SYN包在传输过程中被某些中间设备修改了协议类型，或者规则中误用了ip protocol tcp这类冗余写法，都可能导致匹配失败。

其次，规则的位置至关重要。nft会按照链内的顺序逐条匹配。如果把一条类似ct state invalid drop的兜底规则放在了SSH规则前面，那么新的连接请求会在匹配到SSH规则之前就被丢弃。

最后，地址簇的选择是个隐形陷阱。如果只在ip（仅IPv4）表里添加规则，而客户端实际通过IPv6连接，规则自然就失效了。这也是为什么一开始就推荐使用inet表。

一个更稳妥的写法是：nft add rule inet filter input tcp dport 22 ct state new accept。它明确限定只放行新连接（SYN包），既精准，又提升了安全性。

nft 规则重启后丢失怎么办

通过命令行添加的规则只存在于内存中，系统重启就会消失。实现持久化，标准路径其实很清晰：

• 导出规则到文件：nft list ruleset > /etc/nftables.conf
• 启用系统服务：systemctl enable nftables。这里需要注意，像RHEL 8+或AlmaLinux这类发行版可能默认已启用，而Debian或Ubuntu则需要先手动安装nftables软件包，再启用服务。
• 检查服务配置：运行systemctl status nftables，确认“Loaded”一行指向的配置文件路径是/etc/nftables.conf。

记住，不要画蛇添足地使用rc.local或自定义脚本去重新加载规则。nftables服务本身就会在启动时读取/etc/nftables.conf文件并载入规则，额外操作反而容易引入错误。另外，/etc/sysconfig/nftables.conf是旧版RHEL/CentOS 7使用的路径，新版本系统已经统一到了/etc/nftables.conf。

日志和调试最实用的三招

当规则不按预期工作时，光查看nft list的输出可能不够，我们需要确认数据包是否真的“走”到了那条规则。下面三个方法非常实用：

• 使用counter计数器：在规则后加上counter，例如nft add rule inet filter input tcp dport 22 counter accept。之后通过nft list chain inet filter input查看pktcnt（包计数）和bytecnt（字节计数）是否增长，就能直观判断规则是否被命中。
• 添加log日志记录：使用nft add rule inet filter input tcp dport 22 log prefix "SSH-ATTEMPT: " counter accept。这样匹配的包会被记录到内核日志，通过journalctl -k | grep "SSH-ATTEMPT"命令可以实时观察连接尝试。
• 结合tcpdump验证：用tcpdump -i any port 22 and host 来确认数据包是否真的到达了本机。再对比nft计数器的数据，就能分辨问题是包被丢弃了，还是根本没匹配上规则。

这里有个关键点：log语句本身不会终止规则的执行，所以它后面必须显式地跟上accept或drop动作。否则，数据包会继续向下匹配，可能被后续的规则意外处理。

说到底，配置nft真正的难点往往不在语法本身，而在于规则顺序、地址簇选择这些设计逻辑，以及忘记了counter和log这两个强大的调试工具。养成一个好习惯：每写完一条关键规则，立刻挂上一个counter验证其是否被命中，这比反复猜测失败原因要高效得多。