nftables 日志解决方案实践

最新推荐文章于 2025-06-03 15:59:33 发布
最新推荐文章于 2025-06-03 15:59:33 发布
阅读量2k 收藏 2
点赞数
CC 4.0 BY-SA版权
文章标签: linux 运维 centos 数据库 docker
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/alex_yangchuansheng/article/details/118741032


nftables 重要规则进行日志记录,并配置日志切割、nftables 规则固定到文件,保证重启不丢失。

最后更新时间:2021/7/13

根据官方 wiki 中Logging traffic[1]这篇文章的说明:从 Linux 内核 3.17 开始提供完整的日志支持。如果您运行较旧的内核,则必须 modprobe ipt_LOG 以启用日志记录。从 nftables v0.7 开始,支持 log 标志。

那么我们的内核是5.13.0-1.el7.elrepo.x86_64,nftables 版本是nftables v0.8 (Joe Btfsplk),应该不需要手动加载内核模块。

前置条件:

  • openvpn 网卡 tun0、openvpn 用户虚拟 IP 网段为 10.121.0.0/16;

  • wireguard 网卡 wg0、wireguard 虚拟 IP 网段 10.122.0.0/16;

1. nftables 规则创建及测试

我这边需要在这台 VPN 中枢服务器进行路由转发和控制,并且需要监控哪个 VPN 用户访问了哪些服务的日志;

1.1. 简单测试-权限粒度从 ip 到目的 ip.端口

首先测试确定的用户虚拟 IP 到确定的服务器的控制转发规则:

## 添加单条规则如下:
nft add rule ip nat POSTROUTING oifname eth0 ip saddr 10.121.6.6 ip daddr 192.168.5.71 counter log masquerade
nft add rule ip nat POSTROUTING oifname eth0 ip saddr 10.121.6.6 ip daddr 10.10.210.9 counter log masquerade
## 查询到的规则如下
table ip filter {
 chain INPUT {
  type filter hook input priority 0; policy accept;
  counter packets 248456 bytes 62354809 ## handle 4
 }

 chain FORWARD {
  type filter hook forward priority 0; policy accept;
  iifname "wg0" counter packets 97 bytes 6924 accept ## handle 5
  oifname "wg0" counter packets 121 bytes 7776 accept ## handle 6
 }

 chain OUTPUT {
  type filter hook output priority 0; policy accept;
 }
}
table ip nat {
 chain PREROUTING {
  type nat hook prerouting priority 0; policy accept;
 }

 chain INPUT {
  type nat hook input priority 0; policy accept;
 }

 chain OUTPUT {
  type nat hook output priority 0; policy accept;
 }

 chain POSTROUTING {
  type nat hook postrouting priority 0; policy accept;
  counter packets 76584 bytes 5488498 ## handle 7
  oifname "eth0" ip saddr 10.121.6.6 ip daddr 192.168.5.71 counter packets 1 bytes 60 log masquerade ## handle 27
  oifname "eth0" ip saddr 10.121.6.6 ip daddr 10.10.210.9 counter packets 0 bytes 0 log masquerade ## handle 28
 }
}

openvpn 客户端 ping 10.10.210.9 和 192.168.5.71 测试,查看日志 tail -100f /var/log/nftables.log,需要先做第二步骤的日志设置

值得注意的是,短时间内再次 ping 同一个 IP 的话,不会出现新的记录,conntrack -E看也是一样的,有网友说可能是按照比例输出的日志,后面根据生产经验看其实日志是有的,只不过 tail 没全部展现。

Jul  9 17:32:12 test-openvpn kernel: IN=tun0 OUT=eth0 MAC= SRC=10.121.6.6 DST=10.10.210.9 LEN=60 TOS=0x00 PREC=0x00 TTL=127 ID=59753 PROTO=ICMP TYPE=8 CODE=0 ID=1 SEQ=716
Jul  9 17:32:17 test-openvpn kernel: IN=tun0 OUT=eth0 MAC= SRC=10.121.6.6 DST=192.168.5.71 LEN=60 TOS=0x00 PREC=0x00 TTL=127 ID=36231 PROTO=ICMP TYPE=8 CODE=0 ID=1 SEQ=720

1.2. 权限粒度控制到网段

若要对用户以及目的地址进行批量配置和控制用户可以目的地址的粒度

需要新增VPN 用户虚拟 IP 集合目的服务集合(粒度到端口)目的服务器(粒度服务器或网段)

然后用三条规则控制这样的处理流程。以下是三个集合的创建和新增规则过程【只需要关注 nat 表的 POSTROUTING 链即可】:

我们需要将刚才的表删掉nft delete table filternft delete table nat,并从头创建覆盖范围更广的通用规则:

## -i参数进入交互模式 从头开始创建表filter、nat以及链和新增规则
nft -i
add table ip filter
add chain ip filter INPUT { type filter hook input priority 0; policy accept; }
add chain ip filter FORWARD { type filter hook forward priority 0; policy accept; }
add chain ip filter OUTPUT { type filter hook output priority 0; policy accept; }
add table ip nat
add chain ip nat PREROUTING { type nat hook prerouting priority 0; policy accept; }
add chain ip nat INPUT { type nat hook input priority 0; policy accept; }
add chain ip nat OUTPUT { type nat hook output priority 0; policy accept; }
最低0.47元/天 解锁文章

200万优质内容无限畅学
nftables(9)NAT、FLOWTABLES
Monster✺◟(∗❛ัᴗ❛ั∗)◞✺的博客
07-17 1484
nftables或类似的网络过滤和流量控制框架中,flowtables是一种高级特性,用于加速软件中的数据包转发。flowtables通过存储和缓存转发决策来优化性能,这些决策基于数据包的某些关键属性(如源和目的地址、端口以及层3/4协议)来做出。这种方式可以显著减少对每个数据包都进行完整路由查找和决策。
继iptables之后的新一代包过滤框架是nftables
weixin_34183910的博客
11-12 704
夜已深然未央,准备接着讲述有关Netfilter的故事,行文有点松散,由于未打草稿,有点随意识而流,一气呵成不知是自夸还是自嘲,权当小时候写的日 记吧,自幼喜欢每天写日记,中学时更是以退士为名折腾了几箱子抄本,前几年由于喝酒就改为周记了,现在意识到了生命短暂,时间甚是不够用,不能在迷迷糊糊 中得过且过,就准备把自己知道的关于Linux网络的东西一点一...
Linux-nftables
feiyu5323的专栏
05-29 1053
Linux-nftables Linux-nftables https://netfilter.org/ https://netfilter.org/projects/iptables/index.html https://netfilter.org/projects/nftables/index.html https://www.netfilter...
`iptables`与`nftables`核心概念入门:图解Linux网络包过滤的底层逻辑、表(Tables)与链(Chains)
Clownseven的博客
05-29 1057
你可能用UFW或firewalld轻松配置防火墙,但想知道它们背后真正的“掌门人”是谁吗?Hostol为你“庖丁解牛”,图文并茂地深度剖析iptables与nftables的核心概念,让你彻底理解Linux网络包过滤的底层逻辑、神秘的“表”(filter/nat/mangle)与“链”(INPUT/OUTPUT/FORWARD)是如何协同工作的,晋级防火墙配置高手!
日志系统架构介绍(非原创)
weixin_30784945的博客
06-14 421
文章大纲 一、日志系统概念介绍二、ELK日志系统介绍三、互联网行业日志处理方案介绍四、参考文章 一、日志系统概念介绍 1. 简介 日志主要包括系统日志、应用程序日志和安全日志。系统运维和开发人员可以通过日志了解服务器软硬件信息、检查配置过程中的错误及错误发生的原因。经常分析日志可以了解服务器的负荷,性能安全性,从而及时采取措施纠正错误。通常,日志被分散在储...
oracle insert 触发器无效_详解一个Oracle新特性--INSERT ALL/ANY,让你的sql更高效
weixin_39965102的博客
12-08 560
概述分享一个最近在给部门培训时用的一个新特性,INSERT ALL/ANY。这里先看一下下面这个场景。需求从一张表取数据插入到另一张表中,此外需要为插入的目标表做一个应用级的日志表,也就是说在插入目标表的同时,还需要将相同的数据插入到日志表中。大家可以想一下,如果是你,会怎么去实现这个需求?方案1:考虑触发器不过方案1存在以下几个问题:⚫ CREATE TRIGGER• 太“重”• 实现与需求有差...
日志审计系统解决方案
chengfangang的专栏
01-05 1万+
一、 背景 随着信息化的快速发展,信息化应用在银行业务、资金流通中发挥着不可替代的重要作用,各项业务工作对信息网的依赖程度日益加深,信息网尤其是银行门户已成为银行和用户交流和交互的重要工具。银行门户网站在发挥巨大作用的同时,自身安全也变得越来越重要。该用户已部署了多种安全设备及系统来提高对网站的保护和监管。通过“金盾工程”的多期建设,完成了网站综合防护系统、防病毒系统、防火墙、入侵检测系统、监
nftables日志解决方案实践.docx
10-26
nftables日志解决方案实践.docx
【使用nftables替代iptables】:专家级实践指南和案例分析
[【使用nftables替代iptables】:专家级实践指南和案例分析](https://developers.redhat.com/sites/default/files/styles/article_feature/public/blog/2016/04/devops01.jpeg?itok=NcD_-92X) # 1. nftables和...
Linux命令大全】iptables/nftables终极指南:防火墙与流量控制实战
最新发布
资深全栈架构师,乐于在 优快云 分享技术见解,与大家携手共进,共攀技术巅峰!
06-03 753
零日漏洞的应急防护分布式拒绝服务(DDoS)攻击应用层攻击防御南北向和东西向流量控制合规审计要求💡惊人数据:AWS安全组每天处理超过100万亿条规则评估,其底层技术源于netfilter框架!
银河麒麟桌面操作系统网络配置:网络连接的终极解决方案
!... # 摘要 本文系统介绍了银河麒麟桌面操作系统的网络配置和管理。首先回顾了网络的基础...最后,探讨了银河麒麟桌面操作系统的高级网络配置选项和网络安全实践,旨在提升系统的网络管理自动化水平和安全性。通过这些内
常用日志解决方案实践与学习
xiaosi的博客
09-08 2052
一个功能完善的日志系统是企业在日常产品、项目开发中是必须的,接触过bug fix的同学应该深有体会一份记录详细完善的日志能提升的小笼包,之前参与项目架构技术会的时候,谈论到了日志技术的选型及实现,鉴于对该方面还不太熟悉,决定需要花时间学习实践一下,拿着常见成熟的轮子跑一跑…学习分析下原理…一、利用中间件Canal来记录操作日志 原理分析canal实践二、通过文件形式记录日志操作人如何记录操作日志如何与系统日志分开基于注解如何生成可读的日志方案基于AOP注解日志实现原理分析三、ELK日志解决
日志管理系统,多种方式总结
【积累】,是一个长期持续的过程。
02-28 4185
好记性不如好Log。项目中日志的管理是基础功能之一,不同的用户和场景下对日志都有特定的需求,从而需要用不同的策略进行日志采集和管理,如果是在分布式的项目中,日志的体系设计更加复杂。
Nftables代替iptables
yazhouren的专栏
07-02 3822
== 防火墙简述 == 新的防火墙子系统/包过滤引擎 Nftables 将在 Linux 3.13 中替代有十多年历史的iptables。iptables/netfilter在2001年加入到2.4内核中。诞生于2008年的 NFTables 设计替代 iptables, 它提供了一个更简单的kernel ABI,减少重复代码,改进错误报告,更有效的支持过滤规则。除了iptables,NFT
面向实战的 nftables 防火墙配置指南:从入门到高级
i89211的博客
03-07 1801
本篇博客从常见场景的角度,系统阐述了 nftables 的基础语法与高级用法。包括过滤、防护、NAT、黑白名单、日志及限速等功能,并重点介绍了如何利用表、链、规则和 set/map 数据结构高效管理流量。文章还涵盖 IPv6、桥接、ingress 等进阶内容,帮助你在各种环境下快速部署安全、简洁且高性能的防火墙策略。
nf_tables
喝醉酒的小白
06-22 2578
nf_tables是 Linux 内核中的一个组件,属于 netfilter 子系统的一部分。它的作用类似于iptables,都是用于配置和执行网络相关的规则,实现防火墙的功能。以下是nf_tablesnf_tables允许管理员定义和管理网络规则集,这些规则可以基于不同的标准(如源地址、目的地址、端口号等)来控制数据包的流动。nf_tables设计用于处理大量的网络规则,相比iptables,在规则数量较多时,它提供了更好的性能。nf_tables提供了比iptables。
Windows Wireguard 流量无法接收
热门推荐
Leopold的博客
05-06 2万+
Wireguard客户端在Windows的流量只有发送,没有接收,打开网页显示DNS解析错误,话不多说,直接上干货。 查看日志发现: [TUN] [WG] Warning: the "Wi-Fi" interface has Forwarding/WeakHostSend enabled, which will cause routing loops 解决方法: 【管理员模式】运行PowerShell 输入netsh interface ipv4 show interfaces 找到你连接网络的索引I
Linux nftables 命令使用详解
tangPHP的博客
02-15 847
nftables是iptables、ip6tables、arptables和ebtables的继承者,用于管理Linux中的包过滤和网络地址转换。它提供了一种更现代、更灵活和更有效的方式来配置防火墙,取代了旧的工具。nftablesLinux内核3.13及以上版本中可用,它是nft包的一部分。用于配置nftables的主要命令行工具是nft。
Linux常用选项之modprobe命令详解
weixin_56303229的博客
12-12 2187
modprobe 是一个强大且灵活的工具,用于管理和维护Linux系统的内核模块。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值