nftables 是一个用于 Linux 内核的新一代网络包过滤框架,它可以取代传统的 iptables 和 ip6tables 工具。下面是安装和使用 nftables 的简单步骤:
- 安装 nftables:
在大多数 Linux 发行版上,nftables 已经包含在内核中,你只需要安装 nftables 的管理工具即可。可以通过以下命令来安装 nftables:
sudo apt install nftables # Debian/Ubuntu
sudo yum install nftables # CentOS/RHEL
- 启动 nftables 服务:
sudo systemctl start nftables
sudo systemctl enable nftables
- 创建 nftables 规则:
你可以使用 nft 命令来管理 nftables 的规则。下面是一个简单的例子,允许所有传入的 ICMP 数据包:
sudo nft add table ip filter
sudo nft add chain ip filter input { type filter hook input priority 0 \; }
sudo nft add rule ip filter input icmp type echo-request accept
- 查看 nftables 规则:
sudo nft list ruleset
- 保存和加载 nftables 规则:
sudo nft list ruleset > /etc/nftables.conf # 保存规则
sudo nft -f /etc/nftables.conf # 加载规则
这样就完成了 nftables 的安装和基本使用。你可以根据需要创建更多复杂的规则来定制网络包过滤。更多关于 nftables 的信息可以查阅官方文档:https://wiki.nftables.org/wiki-nftables/index.php/Main_Page。