Linux nft

nft（Netfilter Framework Tables）是Linux内核中的一个框架，用于替代传统的iptables，提供更强大、更灵活的网络数据包过滤、网络地址转换（NAT）和其他网络相关的功能。

基础概念

• Netfilter：Linux内核中的一个框架，用于处理和操纵网络数据包。它提供了多个钩子（hooks），允许不同的网络功能（如防火墙、NAT等）在数据包的生命周期中的特定点进行处理。
• Tables：在nftables中，规则被组织成表（tables）。每个表包含一系列的链（chains），而链则包含具体的规则（rules）。
• Chains：链是规则集的集合，数据包会按照链中的规则顺序进行匹配和处理。
• Rules：规则定义了如何处理匹配的数据包，例如接受、拒绝、转发或进行NAT等。

优势

• 统一性：nftables整合了iptables、ip6tables、arp tables等多个工具的功能，提供了一个统一的接口。
• 可扩展性：通过添加新的表和链，可以轻松扩展nftables的功能。
• 性能：nftables在设计时考虑了性能，通过减少内核态和用户态之间的切换，提高了处理速度。
• 易用性：尽管nftables提供了强大的功能，但其语法相对简洁，易于学习和使用。

类型

• Filter Tables：用于过滤数据包，类似于传统的iptables。
• NAT Tables：用于网络地址转换，包括源地址转换（SNAT）和目标地址转换（DNAT）。
• Mangle Tables：用于修改数据包的特定字段，如TTL、TOS等。
• Route Tables：用于处理路由决策。

应用场景

• 防火墙：配置数据包过滤规则，保护网络安全。
• 负载均衡：通过NAT和数据包转发实现负载均衡。
• VPN：配置网络地址转换和路由规则，实现虚拟私人网络。
• 网络监控：通过捕获和分析数据包，进行网络性能监控和故障排查。

常见问题及解决方法

• 规则不生效：检查规则是否正确添加到相应的表和链中，以及是否有其他规则优先匹配并导致数据包被处理或丢弃。
• 性能问题：检查是否存在大量的规则或复杂的数据包处理逻辑，优化规则集或考虑使用硬件加速。
• 兼容性问题：确保Linux内核版本支持nftables，并检查与其他网络工具的兼容性。

示例代码

以下是一个简单的nftables规则示例，用于在filter表中添加一条拒绝所有入站数据包的规则：

nft add table ip filter
nft add chain ip filter input { type filter hook input priority 0 \; }
nft add rule ip filter input drop

这条规则首先创建了一个名为filter的表，然后在该表中添加了一个名为input的链，最后在input链中添加了一条拒绝所有入站数据包的规则。