nf_tables

最新推荐文章于 2025-10-10 20:49:18 发布
原创 最新推荐文章于 2025-10-10 20:49:18 发布 · 2.8k 阅读 · 20 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#运维

nf_tables

nf_tables 是 Linux 内核中的一个组件,属于 netfilter 子系统的一部分。它的作用类似于 iptables,都是用于配置和执行网络相关的规则,实现防火墙的功能。以下是 nf_tables 的一些主要作用和特点:

  1. 规则集管理nf_tables 允许管理员定义和管理网络规则集,这些规则可以基于不同的标准(如源地址、目的地址、端口号等)来控制数据包的流动。

  2. 性能优化nf_tables 设计用于处理大量的网络规则,相比 iptables,在规则数量较多时,它提供了更好的性能。

  3. 更丰富的规则匹配nf_tables 提供了比 iptables 更加丰富的规则匹配选项,包括对特定协议的支持和更复杂的表达式匹配。

  4. 扩展性nf_tables 的架构设计允许更容易地扩展和添加新的功能,以适应不断变化的网络环境和安全需求。

  5. 与其他 netfilter 组件的集成nf_tables 可以与其他 netfilter 组件协同工作,例如,它可以与 nf_conntrack(用于跟踪网络连接)集成。

  6. 支持多种表类型nf_tables 支持不同类型的表,例如用于IPv4的ip表,用于IPv6的ip6表,以及用于以太网的bridgearp表等。

  7. 适用于复杂场景:由于其强大的功能和灵活性,nf_tables 适用于需要复杂防火墙规则和高性能的场景。

根据搜索结果中的一项信息,nf_tables 组件中存在一个 UAF(Use After Free)漏洞,这表明它在处理某些网络规则时可能存在安全问题。不过,这并不影响 nf_tables 作为防火墙工具的基本功能和作用。如果需要进一步了解 nf_tables 的具体使用和管理,可以参考相关的 Linux 网络配置和安全文档。

禁用nf_tables是不是会影响cilium和kube-proxy ?

禁用 nf_tables 可能会对使用它的网络策略和工具产生影响。nf_tables 是 Linux 内核中的一个强大的框架,用于定义网络相关的规则,它被设计用来替代旧的 iptables 规则集。然而,并非所有的网络工具都依赖 nf_tables

对于 Cilium 和 kube-proxy,情况如下:

  1. Cilium:Cilium 是一个开源的容器网络解决方案,它使用多种技术来提供网络策略和负载均衡,包括 eBPF(扩展的 Berkeley Packet Filter)和 XDP(eXpress Data Path)。Cilium 可以利用 nf_tables 作为其实现的一部分,但不是必需的。如果 nf_tables 被禁用,Cilium 应该能够继续工作,但可能需要调整其配置以使用其他可用的技术。

  2. kube-proxy:Kubernetes 的 kube-proxy 组件负责在集群中维护网络规则以实现服务发现和服务负载均衡。默认情况下,kube-proxy 使用 iptables 规则来管理网络流量。因此,禁用 nf_tables 通常不会直接影响 kube-proxy 的运行,因为 kube-proxy 并不直接依赖 nf_tables

然而,如果你的 Kubernetes 集群配置了使用 nf_tables 作为后端来处理网络规则,那么禁用 nf_tables 可能会影响这些特定的配置。在这种情况下,你可能需要将后端切换回 iptables 或其他可用的后端。

总的来说,禁用 nf_tables 可能会影响到那些直接使用它作为规则处理机制的工具或配置。如果你正在使用特定的网络策略或高级网络功能,应该检查相关文档或配置,以确定禁用 nf_tables 是否会有影响,并采取适当的措施来保证网络策略的正常运行。

要确认 iptables 是否在使用 nf_tables,可以通过检查 iptables 命令的实际可执行文件来确定。如果 iptables 命令链接到了 nf_tables 后端,执行 iptables 命令时实际上是在调用 iptables-nft,这是一个使用 nf_tables 的兼容层。

以下是一些方法来确认 iptables 是否在使用 nf_tables

  1. 检查 iptables 版本
    使用命令 iptables -V 来查看 iptables 的版本。如果输出显示 (nf_tables),这表明 iptables 正在使用 nf_tables 作为后端。

  2. 检查符号链接
    在大多数现代 Linux 发行版中,iptables 命令可能是一个符号链接,指向 iptables-legacyiptables-nft。使用 ls -l /usr/sbin/iptables 可以查看它链接到的命令。

  3. 查看实际可执行文件
    如果 iptables 是一个符号链接到 iptables-nft,使用 which iptables-nft 可以找到实际的可执行文件路径。

  4. 检查 nftables 的安装
    如果 nftables 已经安装在系统上,并且 iptables 命令链接到了 nf_tables 后端,那么 iptables 命令可能正在使用 nf_tables

  5. 查看 nftables 配置
    在某些系统中,nftables 的配置文件可能包含有关 iptables 命令使用哪个后端的信息。

  6. 检查内核模块
    nf_tables 需要相应的内核模块支持。使用 lsmod | grep nf_tables 来检查这些模块是否被加载。

  7. 使用 iptables-translate
    iptables-translate 工具可以将 iptables 规则转换成 nftables 规则。如果 iptables 命令在使用 nf_tables,这个工具可能能够正确地转换规则。

请注意,即使 iptables 命令在使用 nf_tablesiptables-legacy 命令仍然可用于使用传统的 iptables 后端。在某些系统中,iptables 可能是一个软链接,可以在 iptables-legacyiptables-nft 之间切换,以使用不同的后端。

file /usr/sbin/xtables-multi
/usr/sbin/xtables-multi: ELF 64-bit LSB executable, x86-64, version 1 (SYSV), dynamically linked (uses shared libs), for GNU/Linux 2.6.32, BuildID[sha1]=988de4931f78e9253c211c57514e05bd54ff104d, stripped

Linux Kernel nf_tables 本地权限提升漏洞(CVE-2024-1086)
李同學的安全圈
06-06 9516
2024年1月,各Linux发行版官方发布漏洞公告,修复了一个 netfilter:nf_tables 模块中的释放后重用漏洞(CVE-2024-1086)。在nft_verdict_init()函数的错误处理导致nf_hook_slow()函数在NF_DROP的分支的时候以NF_ACCEPT返回,进而在NF_HOOK()函数产生释放后重用漏洞。鉴于该漏洞易于利用,并且允许本地攻击者提升至ROOT权限。​
深入理解nftables:强化你的网络安全
dmgy110的博客
09-01 7762
nftables是一个用于管理Linux内核网络堆栈的工具,它的强大之处在于其清晰而强大的配置语言,以及对多种网络协议的全面支持。与之前的iptables相比,nftables提供了更灵活、可读性更强和性能更好的解决方案。
nftables 是什么
小诸葛的博客
10-10 417
nftables 是 Linux 内核的一个子系统,用于网络包的过滤、分类和处理。它是 Netfilter 项目的一部分,主要用于实现防火墙规则、NAT(网络地址转换)和其他包处理功能。nftables 自 Linux 内核 3.13 版本起可用,并逐渐取代了传统的 iptables、ip6tables、arptables 和 ebtables 等工具。
nftables基础与实践
本博客暂停使用
06-30 5479
@[TOC](nftables应用与实践(一) 基础) 鉴于之前的小项目的缺点,以及对比iptables(ipset)、nftables、ebpf-iptables后,敲定过滤网络数据包的底层工具还是选用nftables而不是iptables+ipset。 理由: ebpf很优秀,但需要C编程,开发效率低下;golang库小众年久失修; 红帽自己的iptables和ipset替代方案nftables纳入考虑;而且有golang的比较成熟的库; iptables+ipset,优点是只需要熟悉一下ipset,
CVE-2024-1086 Linux kernel nf_tables 本地提权漏洞修复方法--多种方式,亲测!!!
热门推荐
qq_21160025的博客
06-03 1万+
CVE-2024-1086 Linux kernel nf_tables 本地提权漏洞
Linux-nftables
feiyu5323的专栏
05-29 1128
Linux-nftables Linux-nftables https://netfilter.org/ https://netfilter.org/projects/iptables/index.html https://netfilter.org/projects/nftables/index.html https://www.netfilter...
nf_tables_compat.rar_The Number
09-23
标题 "nf_tables_compat.rar_The Number" 暗示了我们正在探讨与网络过滤规则相关的技术,特别是与“nf_tables”兼容性相关的方面。在Linux内核中,nf_tables是下一代iptables,它提供了一种更强大、更灵活的框架来...
nf_tables_arp.rar_Funded!
09-14
标题中的“nf_tables_arp.rar_Funded!”暗示了我们正在讨论的是一个与网络过滤和地址解析协议(ARP)相关的开源项目,该项目的资金来源于Astaro AG。Astaro AG是一家专注于网络安全解决方案的公司,现在已经并入...
nf_tables_api.rar_V2
09-24
register nf tables address family info for Linux v2.13.6.
iptables failed: iptables --wait -t nat -N DOCKER: iptables v1.8.4 (nf_tables): CHAIN_ADD failed (
lu6603547的博客
04-14 997
解决wsl centos8中docker报错 iptables failed: iptables --wait -t nat -N DOCKER: iptables v1.8.4 (nf_tables): CHAIN_ADD failed (No such file or directory): chain PREROUTING (exit status 4)
nftables(2)表、链、规则查询和管理(新增、插入、修改、删除)
Monster✺◟(∗❛ัᴗ❛ั∗)◞✺的博客
07-08 3825
上面所介绍的就是nftables基本的表、链、规则的创建和管理,如果熟悉iptables的配置方式的话,那么nftables的配置逻辑理解起来还是相对比较容易的。大家可以多做实验理解表、链、规则的相关性和其互相的关系,如果不是非常清楚,可以参考iptables部分相关的文章。
nftables
weixin_33843409的博客
04-29 2084
nftables 也有表、规则链、规则的概念: 表是规则链的容器 表有几个family: ip/ip6/inet/arp/bridge/netdev; inet=ip和ip6的混合 链是规则的容器 基本链的类型有: filter: 支持ip/ip6/inet/arp/bridge;不支持netdev(好像能支持?) rout...
iptables命令_Linux防火墙之iptablesnftables有什么区别?
weixin_39847099的博客
11-18 1165
请关注本头条号,每天坚持更新原创干货技术文章。如需学习视频,请在微信搜索公众号“智传网优”直接开始自助视频学习1. 前言在本文中,我们将讨论nftables和iptables之间的区别,并展示在新的nftables语法中配置防火墙规则的示例。每个Linux管理员肯定都使用过iptables,这是一个长期存在的Linux防火墙,多年来为我们提供了良好的服务。但是您可能还不熟悉nftables,它是一...
继iptables之后的新一代包过滤框架是nftables
weixin_34183910的博客
11-12 761
夜已深然未央,准备接着讲述有关Netfilter的故事,行文有点松散,由于未打草稿,有点随意识而流,一气呵成不知是自夸还是自嘲,权当小时候写的日 记吧,自幼喜欢每天写日记,中学时更是以退士为名折腾了几箱子抄本,前几年由于喝酒就改为周记了,现在意识到了生命短暂,时间甚是不够用,不能在迷迷糊糊 中得过且过,就准备把自己知道的关于Linux网络的东西一点一...
【无标题】nftables 入门级干货,全无废话,句句精炼,一分钟上手,居家必备收藏秘芨
cao_ni_mei2015的博客
04-21 1527
为了研究一下nftables流量统计,花一天把nftables撸了一遍,复杂的目前没需求,简单的咱不能不会。直接上干货,句句精炼。禁止一些MAC主机联网。
linux nftables简介和基础操作
weixin_34356138的博客
11-27 1522
一、什么是nftablesnftables 是新的数据包分类框架,新的linux防火墙管理程序,旨在替代现存的 {ip,ip6,arp,eb}_tables。简而言之: 它在 Linux 内核版本高于 3.13 时可用。 它有一个新的命令行工具 ntf,它的语法与 iptables 不同。 它也包含了一个兼容层,让你在新的 nftab...
unable to detect if iptables supports xlock: ‘iptables --wait -L -n‘: iptables v1.8.9 (nf_tables): C
gucapg的专栏
12-09 300
unable to detect if iptables supports xlock: 'iptables --wait -L -n': iptables v1.8.9 (nf_tables): Cou>
再说一点nftables
TCP/IP
03-04 8442
在文章《nftables相比iptables到底改变了什么》中,我提到说nftables是一门编程语言,这个说法可能有点过于激进,随后收到了很多的邮件来咨询详情,昨天也有人提到了类似的问题,以下这个疑问比较典型:所以说有必要针对此再说两句。首先,nftables包含一整套的逻辑,包括用户态nftables程序,内核态的Netfilter nft模块以及用户输入的nftables命令。三者关系如下:
nftables(9)NAT、FLOWTABLES
Monster✺◟(∗❛ัᴗ❛ั∗)◞✺的博客
07-17 1739
nftables或类似的网络过滤和流量控制框架中,flowtables是一种高级特性,用于加速软件中的数据包转发。flowtables通过存储和缓存转发决策来优化性能,这些决策基于数据包的某些关键属性(如源和目的地址、端口以及层3/4协议)来做出。这种方式可以显著减少对每个数据包都进行完整路由查找和决策。
linux 内核配置CONFIG_NF_TABLES 无法关闭,如何解决
最新发布
11-22
<think> 我们正在解决Linux内核配置中CONFIG_NF_TABLES无法关闭的问题。根据之前的讨论,我们知道CONFIG_NF_TABLES是Netfilter nf_tables支持的配置选项,它可能被其他组件所依赖,导致无法直接关闭。 分析原因: 1. 在Kconfig中,如果其他选项通过`select`强制选择了CONFIG_NF_TABLES,那么即使用户在配置界面尝试取消选择,它也会被自动重新选中。 2. 另外,如果CONFIG_NF_TABLES被其他选项通过`depends on`所依赖,那么当这些选项被选中时,关闭CONFIG_NF_TABLES会导致依赖它的选项不可用,但不会强制重新选中(除非有`select`关系)。但注意,如果有反向的`select`关系(即其他选项`select`了CONFIG_NF_TABLES),则无法关闭。 因此,解决步骤: 步骤1:检查Kconfig依赖关系 我们需要找出哪些选项强制选择了CONFIG_NF_TABLES(即使用了`select CONFIG_NF_TABLES`)。可以通过在内核源码中搜索`select NF_TABLES`或`select NETFILTER_NF_TABLES`(注意,配置选项名可能带有CONFIG_前缀,但在Kconfig文件中通常不带前缀)。 步骤2:禁用依赖CONFIG_NF_TABLES的选项 找到这些依赖项后,我们需要先禁用那些强制选择CONFIG_NF_TABLES的选项,然后再尝试关闭CONFIG_NF_TABLES。 步骤3:考虑系统影响 注意,禁用nf_tables可能会影响使用它的组件,例如Kubernetes集群可能使用nf_tables作为网络规则的后端(引用[1])。如果系统依赖于nf_tables,关闭它可能导致网络功能异常。因此,在禁用前需要评估影响。 另外,引用[2]提到,如果无法禁用nf_tables内核模块,并且系统上没有运行容器,可以通过禁用用户命名空间来缓解一些漏洞(但这是另一个问题,与关闭nf_tables无直接关系,但可能是安全考虑)。 具体操作步骤: 1. 进入内核源码目录,使用菜单配置工具(如menuconfig): ```bash make menuconfig ``` 2. 定位到Networking support -> Networking options -> Network packet filtering framework (Netfilter) -> Core Netfilter Configuration -> Netfilter nf_tables support (CONFIG_NF_TABLES) 3. 尝试取消选择,如果它自动跳回选中状态,说明有其他的选项强制选择了它。 4. 我们需要找出这些选项。可以通过查看Kconfig文件来追踪依赖关系。通常,nf_tables的配置在`net/netfilter/Kconfig`中。打开这个文件,查找`config NF_TABLES`的定义,并注意是否有其他地方的`select`语句指向它。 另外,也可以在内核源码中搜索: ```bash grep -r "select NF_TABLES" . ``` 或者 ```bash grep -r "select NETFILTER_NF_TABLES" . ``` 注意:在Kconfig中,选项名称通常不带CONFIG_前缀。 5. 常见的依赖项可能包括: - 其他Netfilter模块,如NFT_开头的选项(例如NFT_CT, NFT_NAT等) - 容器网络相关配置(如CGROUP_NET_PRIO,但需要具体分析) - 安全模块(如SELINUX)可能间接依赖,但通常不会直接select 6. 在menuconfig中,我们可以通过查看帮助信息(按`?`)来查看当前选项的依赖关系,但可能不会显示所有通过`select`建立的依赖。因此,手动查看Kconfig文件更可靠。 7. 一旦找到依赖的选项,我们需要在menuconfig中先禁用这些选项。例如,如果发现`CONFIG_NFT_CT`强制选择了`CONFIG_NF_TABLES`,那么我们需要先禁用`CONFIG_NFT_CT`。 8. 重新尝试禁用CONFIG_NF_TABLES,然后保存配置。 9. 重新编译内核并测试。 备选方案: 如果确实无法完全禁用(因为系统功能需要),可以考虑以下替代方案: - 使用其他后端(如iptables)替代nf_tables(引用[1]提到切换后端)。 - 如果出于安全考虑(例如漏洞缓解),可以禁用用户命名空间(引用[2]),但这会影响容器功能。 总结:解决CONFIG_NF_TABLES无法关闭的关键是找出并禁用那些强制选择它的选项。这需要分析Kconfig依赖关系,并在配置中逐一禁用依赖项。 注意:在修改内核配置前,请备份原配置文件(.config)。 示例操作(假设我们发现CONFIG_NFT_CT依赖了CONFIG_NF_TABLES): 1. 在menuconfig中,进入:Networking support -> Networking options -> Network packet filtering framework (Netfilter) -> Core Netfilter Configuration -> Netfilter nf_tables support 2. 按`?`查看帮助,注意依赖关系。 3. 退出到上一层,找到`Netfilter nf_tables connection tracking support`(对应CONFIG_NFT_CT),将其禁用(按空格键直到出现`< >`)。 4. 再进入Netfilter nf_tables support,尝试禁用。 5. 保存并退出。 如果仍有其他依赖,重复上述步骤直到可以禁用。 如果通过以上方法仍然不能解决,可能需要更深入地分析内核配置依赖,或者考虑是否内核版本有特殊设计(某些版本可能将nf_tables设为强制启用)。 另外,引用[3]提到了内核配置与编译的关系,确保在修改配置后重新编译内核并安装。 相关问题: §§相关问题§§ 1. 如何查找Linux内核配置选项之间的依赖关系? 2. 在Linux内核配置中,如何处理循环依赖问题? 3. 如何备份和恢复Linux内核配置文件? </think> ### 解决CONFIG_NF_TABLES无法关闭的问题 在Linux内核配置中,`CONFIG_NF_TABLES`(Netfilter nf_tables支持)无法关闭通常是由其他组件的强制依赖或系统配置依赖导致的。以下是逐步解决方案: --- #### 1. **检查强制依赖关系** 在Kconfig配置中,`select`关键字会强制启用依赖项: ```kconfig config OTHER_MODULE tristate "Other Module" select NF_TABLES # 强制启用nf_tables ``` **解决方法**: - 执行`grep -r "select NF_TABLES" /path/to/kernel/source/`,查找强制依赖`NF_TABLES`的选项 - 在内核配置界面(如`make menuconfig`)中禁用这些依赖项: ``` Networking support → Networking options → Network packet filtering framework → Core Netfilter Configuration ``` - 禁用所有依赖`nf_tables`的选项(如`NFT_CT`, `NFT_NAT`等) --- #### 2. **处理系统级依赖** 某些系统组件(如容器网络或Kubernetes)可能强制依赖nf_tables: - Kubernetes默认使用nf_tables作为网络规则后端(引用[1]) - 容器运行时(如Docker)依赖user namespace时也可能间接启用 **解决方法**: ```bash # Kubernetes切换后端(需重启服务) kubeadm init --skip-phases=addon/kube-proxy \ --pod-network-cidr=10.244.0.0/16 \ --service-cidr=10.96.0.0/12 \ --feature-gates="KubeProxyConfiguration=true" \ --config=kubeadm-config.yaml ``` 在`kubeadm-config.yaml`中添加: ```yaml apiVersion: kubeproxy.config.k8s.io/v1alpha1 kind: KubeProxyConfiguration mode: iptables # 切换回iptables后端 ``` --- #### 3. **禁用用户命名空间(临时方案)** 若无法完全禁用nf_tables,可通过禁用user namespace降低风险(引用[2]): ```bash # 编辑/etc/sysctl.conf echo "user.max_user_namespaces=0" >> /etc/sysctl.conf sysctl -p ``` **注意**: - 这会禁用所有容器隔离功能,仅适用于无容器环境 - 评估对安全模型的影响(如Docker/LXC将无法运行) --- #### 4. **内核编译验证** 确保配置更改在编译时生效(引用[3]): 1. 清除旧配置: ```bash make mrproper ``` 2. 显式禁用nf_tables: ```bash ./scripts/config --disable NF_TABLES ``` 3. 编译并验证: ```bash make -j$(nproc) zgrep CONFIG_NF_TABLES /proc/config.gz # 验证是否已禁用 ``` --- #### 5. **替代方案** 若仍无法禁用,考虑: - **使用轻量级防火墙**:迁移到`iptables-legacy`模式 ```bash update-alternatives --set iptables /usr/sbin/iptables-legacy ``` - **内核模块黑名单**(不推荐): ```bash echo "blacklist nf_tables" > /etc/modprobe.d/nft-blacklist.conf ``` > **关键提示**: > - 在Kubernetes环境中切换后端可能导致网络策略失效(引用[1]) > - 完全禁用`nf_tables`可能影响基于nftables的工具(如`nft`命令) > - 生产环境建议在测试集群验证后再实施 --- ### 相关问题
评论 1
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值