nftables 实战：从零构建你的 Linux 网络防护墙

1. 为什么你需要nftables防火墙第一次接触Linux防火墙时我像大多数人一样从iptables开始。但很快发现写个简单的端口放行规则都要好几条命令配置文件像天书一样难懂。直到遇到nftables才发现原来防火墙可以这么优雅。nftables是Linux内核3.13版本引入的全新防火墙框架它用一套语法统一了原先分散的iptables/ip6tables/arptables等工具。我自己的家用服务器从iptables迁移到nftables后规则行数减少了60%CPU占用降低了15%最关键是配置文件终于能看懂了举个真实场景假设你要开放SSH和HTTP服务同时阻止某个恶意IP。用iptables需要写4条规则而nftables只需要1条复合规则。这种效率提升在管理云服务器集群时尤其明显我曾经用nftables的批量编辑功能在5分钟内完成了20台服务器的防火墙策略同步。2. 快速安装与基础配置2.1 跨发行版安装指南在Ubuntu 22.04上安装只需sudo apt update sudo apt install nftables -yCentOS 8/Stream用户则用sudo dnf install nftables安装后启动服务并设置开机自启sudo systemctl enable --now nftables这里有个实际使用中的坑要注意某些云主机厂商的模版系统可能预装了iptables服务。记得先停用旧服务sudo systemctl stop iptables sudo systemctl disable iptables sudo systemctl stop ip6tables sudo systemctl disable ip6tables2.2 你的第一条防火墙规则我们先来个Hello World级别的示例sudo nft add table inet filter # 创建表 sudo nft add chain inet filter input { type filter hook input priority 0 \; } # 创建链 sudo nft add rule inet filter input tcp dport 22 accept # 放行SSH这三条命令构建了最基础的防火墙创建名为filter的表相当于工作区创建input链并绑定到网络输入钩子添加规则允许TCP 22端口流量查看当前规则集sudo nft list ruleset3. 实战构建家庭服务器防火墙3.1 基础防护策略我的家庭服务器防护方案包含这些核心规则# 允许已建立的连接 sudo nft add rule inet filter input ct state established,related accept # 放行常见服务 sudo nft add rule inet filter input tcp dport { 22, 80, 443 } accept # 阻止无效数据包 sudo nft add rule inet filter input ct state invalid drop # 默认拒绝策略 sudo nft add rule inet filter input drop这个配置实现了放行SSH(22)、HTTP(80)、HTTPS(443)自动允许已建立的连接不会打断现有会话阻止畸形数据包默认拒绝所有其他入站连接3.2 防暴力破解技巧针对SSH暴力破解我增加了频率限制sudo nft add set inet filter ssh_blacklist { type ipv4_addr \; flags timeout \; } sudo nft add rule inet filter input tcp dport 22 \ meter ssh_ratelimit { ip saddr limit rate 5/minute } \ add ssh_blacklist { ip saddr timeout 1h } \ drop这段规则会创建带超时的IP集合每分钟超过5次SSH连接尝试的IP将这些IP加入黑名单1小时立即丢弃其数据包实测这个方案让我的服务器SSH日志里的垃圾尝试减少了90%。4. 高级应用NAT与端口转发4.1 家庭网络共享上网我的树莓派作为家庭网关时配置了以下NAT规则sudo nft add table ip nat sudo nft add chain ip nat prerouting { type nat hook prerouting priority 0 \; } sudo nft add chain ip nat postrouting { type nat hook postrouting priority 100 \; } # 启用IP伪装MASQUERADE sudo nft add rule ip nat postrouting oifname eth0 masquerade关键点解释prerouting链处理进入的数据包postrouting链处理发出的数据包masquerade会自动处理动态IP的情况4.2 内网服务暴露将内网NAS的HTTP服务映射到公网sudo nft add rule ip nat prerouting \ iifname eth0 tcp dport 8080 \ dnat to 192.168.1.100:80这条规则实现从eth0接口进入的8080端口流量转发到内网192.168.1.100的80端口5. 规则优化与调试技巧5.1 使用命名集合提升效率当需要管理大量IP时集合(set)特别有用sudo nft add set inet filter allowed_ips { type ipv4_addr \; } sudo nft add element inet filter allowed_ips { 192.168.1.5, 192.168.1.20 } sudo nft add rule inet filter input ip saddr allowed_ips accept这样维护白名单时只需更新集合不用修改规则本身。5.2 日志记录与监控排查规则匹配问题时我常用日志功能sudo nft add rule inet filter input \ tcp dport 3306 \ log prefix MySQL_attempt: \ level warn \ drop然后在日志中查看匹配记录journalctl -kf | grep MySQL_attempt6. 持久化与备份策略6.1 配置文件管理我习惯将规则保存在/etc/nftables.confsudo nft list ruleset /etc/nftables.conf然后编辑/etc/nftables.conf添加注释和空行提高可读性#!/usr/sbin/nft -f # 清空现有规则 flush ruleset # 定义filter表 table inet filter { # 输入链 chain input { type filter hook input priority 0 # 允许本地回环 iif lo accept # 放行SSH tcp dport 22 accept } }6.2 版本控制实践我把防火墙配置纳入Git管理sudo mkdir /etc/nftables sudo mv /etc/nftables.conf /etc/nftables/rules.nft sudo git init /etc/nftables每次修改后提交cd /etc/nftables sudo git add . sudo git commit -m 添加SSH频率限制规则这样能轻松回滚到任意版本。