Linux NFTables防火墙配置步骤与使用指南
nftables已取代iptables成为Linux默认防火墙。配置基础过滤表需四步:创建inet表、添加基链并设默认拒绝策略、放行回环接口、允许已建连接。常见问题包括SSH规则因顺序或地址簇选择不当而失效,建议明确限定新连接。规则持久化需导出至 etc nftables conf并启用系统服务。调试时可使用counter计数器或log日志来验证规则命中情况

提到Linux防火墙,现在绕不开nft了。它已经取代iptables,成为主流发行版的默认选择。别被“下一代防火墙”这个名头唬住,它并非碘伏性的新事物,更像是把旧工具的逻辑彻底重构了一遍,变得更干净、更统一。对于新手来说,最快的学习路径不是啃完所有语法,而是直接动手配置,在操作中理解。
怎么快速建一个能用的 filter 表
大部分场景下,我们只需要管理入站流量,比如只开放SSH端口,其他一概拒绝。这时候,使用inet地址簇是最省心的选择,它能同时处理IPv4和IPv6,避免为两种协议写两套重复的规则。
搭建一个基础防火墙,四步就够了:
- 创建表:
nft add table inet filter - 添加基链:
nft add chain inet filter input { type filter hook input priority 0 \; policy drop \; }。这里有个细节要注意,末尾的反斜杠和分号是Shell环境下的转义要求。policy drop将默认策略设为拒绝,这是构建安全规则的最佳起点。 - 放行回环接口:
nft add rule inet filter input iifname "lo" accept - 允许已建立的连接:
nft add rule inet filter input ct state established,related accept(这里的ct是conntrack的缩写)
执行完这四条命令,运行nft list ruleset就能看到完整的规则结构了。不过,这时候SSH还连不上——因为还没有明确放行22端口,这一点和iptables的逻辑是一致的。
为什么 tcp dport 22 accept 有时不生效
一个常见的问题是:明明添加了SSH端口规则,连接却依然失败。nft list ruleset显示规则存在,ss -tlnp | grep :22也确认sshd服务在监听。问题往往出在细节上。
首先,tcp dport 22只匹配TCP协议。虽然极其罕见,但如果客户端的SYN包在传输过程中被某些中间设备修改了协议类型,或者规则中误用了ip protocol tcp这类冗余写法,都可能导致匹配失败。
其次,规则的位置至关重要。nft会按照链内的顺序逐条匹配。如果把一条类似ct state invalid drop的兜底规则放在了SSH规则前面,那么新的连接请求会在匹配到SSH规则之前就被丢弃。
最后,地址簇的选择是个隐形陷阱。如果只在ip(仅IPv4)表里添加规则,而客户端实际通过IPv6连接,规则自然就失效了。这也是为什么一开始就推荐使用inet表。
一个更稳妥的写法是:nft add rule inet filter input tcp dport 22 ct state new accept。它明确限定只放行新连接(SYN包),既精准,又提升了安全性。
nft 规则重启后丢失怎么办
通过命令行添加的规则只存在于内存中,系统重启就会消失。实现持久化,标准路径其实很清晰:
- 导出规则到文件:
nft list ruleset > /etc/nftables.conf - 启用系统服务:
systemctl enable nftables。这里需要注意,像RHEL 8+或AlmaLinux这类发行版可能默认已启用,而Debian或Ubuntu则需要先手动安装nftables软件包,再启用服务。 - 检查服务配置:运行
systemctl status nftables,确认“Loaded”一行指向的配置文件路径是/etc/nftables.conf。
记住,不要画蛇添足地使用rc.local或自定义脚本去重新加载规则。nftables服务本身就会在启动时读取/etc/nftables.conf文件并载入规则,额外操作反而容易引入错误。另外,/etc/sysconfig/nftables.conf是旧版RHEL/CentOS 7使用的路径,新版本系统已经统一到了/etc/nftables.conf。
日志和调试最实用的三招
当规则不按预期工作时,光查看nft list的输出可能不够,我们需要确认数据包是否真的“走”到了那条规则。下面三个方法非常实用:
- 使用
counter计数器:在规则后加上counter,例如nft add rule inet filter input tcp dport 22 counter accept。之后通过nft list chain inet filter input查看pktcnt(包计数)和bytecnt(字节计数)是否增长,就能直观判断规则是否被命中。 - 添加
log日志记录:使用nft add rule inet filter input tcp dport 22 log prefix "SSH-ATTEMPT: " counter accept。这样匹配的包会被记录到内核日志,通过journalctl -k | grep "SSH-ATTEMPT"命令可以实时观察连接尝试。 - 结合
tcpdump验证:用tcpdump -i any port 22 and host来确认数据包是否真的到达了本机。再对比nft计数器的数据,就能分辨问题是包被丢弃了,还是根本没匹配上规则。
这里有个关键点:log语句本身不会终止规则的执行,所以它后面必须显式地跟上accept或drop动作。否则,数据包会继续向下匹配,可能被后续的规则意外处理。
说到底,配置nft真正的难点往往不在语法本身,而在于规则顺序、地址簇选择这些设计逻辑,以及忘记了counter和log这两个强大的调试工具。养成一个好习惯:每写完一条关键规则,立刻挂上一个counter验证其是否被命中,这比反复猜测失败原因要高效得多。
游乐网为非赢利性网站,所展示的游戏/软件/文章内容均来自于互联网或第三方用户上传分享,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系youleyoucom@outlook.com。
同类文章
Win10如何启用文件历史记录自动备份与实时保护
Windows10文件历史记录可自动保存文件历史版本,需要手动开启并连接外部NTFS存储设备。可通过设置应用、控制面板或PowerShell三种方式启用。推荐将备份频率设为每10分钟,并将保留时间设为永远,以最大限度保护数据安全。
Win11应用商店提示我们这边出了点问题报错代码
Win11应用商店报错0x80131500,可依次执行:运行wsreset exe清缓存;重启BITS、WindowsUpdate等服务;改DNS为8 8 8 8和1 1 1 1;启用TLS1 2和1 3;重装商店及依赖组件。
Win11电脑频繁弹出系统更新强制升级提醒的解决方法
通过禁用WindowsUpdate、UsoSvc和BITS三项服务,修改注册表将NoAutoUpdate设为1,并禁用任务计划中的ScheduledStart,可彻底关闭Win11系统更新强制弹窗,避免全屏工作被打断,实现永久禁用自动更新。
Windows 11关闭窗口顶部毛玻璃透明磨砂效果方法
Windows11关闭窗口顶部毛玻璃特效需四步:在个性化颜色中关闭透明效果,在辅助功能视觉效果中同步关闭透明与动画,通过注册表禁用EnableTransparentOMAX渲染通道,最后重启资源管理器清除缓存,即可彻底消除磨砂透明。
Windows 11 电脑自动休眠时长修改方法
Windows11修改电脑自动休眠时长可通过系统设置、控制面板和命令提示符三种途径实现。系统设置直接调整睡眠时间,控制面板可精细控制屏幕关闭与休眠独立计时器,命令提示符支持毫秒级精确设定。需注意休眠时间应大于等于屏幕关闭时间,避免中断任务。
- 热门数据榜
相关攻略
2026-07-12 07:39
2026-07-12 07:39
2026-07-12 07:39
2026-07-12 07:39
2026-07-12 07:39
2026-07-12 07:38
2026-07-12 07:38
2026-07-12 07:37
热门教程
- 游戏攻略
- 安卓教程
- 苹果教程
- 电脑教程

