nftables 测试一拒绝所有流量

最新推荐文章于 2025-03-06 12:58:21 发布
最新推荐文章于 2025-03-06 12:58:21 发布
阅读量950 收藏 8
点赞数 8
分类专栏: 运维笔记 文章标签: nftables
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_37633935/article/details/136374852
版权
本文详细描述了如何使用nftables配置,初始设置为拒绝所有,后续添加允许规则如SSH,需根据具体环境调整。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

要配置 nftables 先拒绝所有流量,然后再添加允许的规则,您可以按照以下步骤操作:

  1. 创建一个空的 nftables 配置文件(例如 /etc/nftables.conf)并添加如下内容:

    flush ruleset

table inet filter {
    chain input {
        type filter hook input priority 0; policy drop;
    }

    chain forward {
        type filter hook forward priority 0; policy drop;
    }

    chain output {
        type filter hook output priority 0; policy drop;
    }
}

table ip6 filter {
    chain input {
        type filter hook input priority 0; policy drop;
    }

    chain forward {
        type filter hook forward priority 0; policy drop;
    }

    chain output {
        type filter hook output priority 0; policy drop;
    }
}

    这将配置 nftables 先拒绝所有流量。

  2. 加载 nftables 配置:

    sudo nft -f /etc/nftables.conf

    这将加载并应用新的 nftables 配置。

  3. 添加允许的规则:

    根据您的需求,逐条添加允许的规则,例如允许SSH流量:

    sudo nft add rule inet filter input tcp dport 22 accept

    这将允许来自外部网络的 SSH 流量。

请注意,这只是一个示例配置,实际配置可能需要根据您的网络环境和需求进行调整。确保您了解每条规则的含义和影响,并根据需要添加适当的规则。

Linux nftables实现内外网配置
带着耳朵取流浪的博客
11-20 2475
使用nftables和brctl实现eth0作为外网出口,有线的以太网eth1和无线网络ap0绑定在br-lan上作为局域网使用了
nftables(1)基本原理
Monster✺◟(∗❛ัᴗ❛ั∗)◞✺的博客
07-05 1821
nftables是 Linux 内核中用于数据包分类的现代框架,用来替代旧的iptables(包括ip6tablesarptablesebtables等,统称为 xtables)架构。nftables提供了更强大、更灵活以及更易于管理的规则集配置方式,使得网络过滤和路由决策变得更加高效nftables 可在 Linux 内核版本 >= 3.13 上使用。nftables 提供了个名为 nft 的新命令行实用程序,其语法与 iptables 不同。
nftables 入门:简洁高效的 Linux 防火墙管理
最新发布
i89211的博客
03-06 1556
nftables 是 Linux 新代防火墙框架,提供更灵活的规则管理和更高效的性能。本文简要介绍了 nftables 的核心概念与操作示例,包括表、链、规则的用法,以及如何进行规则持久化配置,帮助你快速上手并轻松实现网络流量管控。
Linux系统firewalld防火墙的应用实操(禁止屏蔽海外国外IP访问)
08-16 9025
Linux系统firewalld防火墙的应用实操(禁止屏蔽海外国外IP访问)
iptables拒绝所有端口放开特定端口方法流程,iptables允许ping和拒绝ping、hosts阻止所有ip指定放开ip方法流程、脚本检测日志异常并自动执行封堵
崔崇鑫的博客,你linux/云运维工作中的百科全书。
11-27 4806
其实上面的iptables已经限制的死死的了,但怕iptables出意外,所以用hosts加固下。是无法清除上面规则的,同时ping也不能使用。注:上面执行以后,看不到具体规则且。【我这就执行了这个进的】
nftables基本使用规则【新手教程】
weixin_45596770的博客
06-05 2577
基本链充当来自网络堆栈的数据包的入口点。简介:规则接收按链过滤的数据包,并根据它们是否与特定条件匹配对其执行操作。必要性:数据包从头到尾通过链的规则,并在匹配并被处理时停止处理。注意点:默认 nft add rule 是将规则添加到链的末尾。简介:表是 nftables 层次结构的最高级别。注意点:添加常规链时不包含钩子关键字。注意点:nftables不附带预定义的表。以与调用基本链完全相同的方式处理数据包。可以包含跳转或转到该链的规则之后,简介:链位于表下并过滤数据包。将规则添加到链的合适位置。
Linux nftables 命令使用详解
tangPHP的博客
02-15 646
nftables是iptables、ip6tables、arptables和ebtables的继承者,用于管理Linux中的包过滤和网络地址转换。它提供了种更现代、更灵活和更有效的方式来配置防火墙,取代了旧的工具。nftables在Linux内核3.13及以上版本中可用,它是nft包的部分。用于配置nftables的主要命令行工具是nft。
继iptables之后的新代包过滤框架是nftables
热门推荐
TCP/IP
11-26 1万+
夜已深然未央,准备接着讲述有关Netfilter的故事,行文有点松散,由于未打草稿,有点随意识而流,气呵成不知是自夸还是自嘲,权当小时候写的日记吧,自幼喜欢每天写日记,中学时更是以退士为名折腾了几箱子抄本,前几年由于喝酒就改为周记了,现在意识到了生命短暂,时间甚是不够用,不能在迷迷糊糊中得过且过,就准备把自己知道的关于Linux网络的东西滴记录下来,本来想继续行文于纸上,然而发现在个人电脑
nftables(4)表达式(2)主要表达式(PRIMARY EXPRESSIONS)
Monster✺◟(∗❛ัᴗ❛ั∗)◞✺的博客
07-10 1214
上篇文章已经介绍了数据类型,如INTERGER TYPE、BITMASK TYPE、STRING TYPE、LINK LAYER ADDRESS TYPE、 IPV4 ADDRESS TYPE、 IPV6 ADDRESS TYPE、BOOLEAN TYPE、ICMP TYPE、CONNTRACK TYPES等。那么本篇文章主要介绍PRIMARY表达式的相关内容。
linux dig域名DNS 查询与iptables域名ip访问流量限制;PTR 反向解析从 IP 地址到域名的映射
weixin_42357472的博客
08-19 2050
例如,你可以先查询域名的 IP 地址,然后根据这些 IP 地址设置防火墙规则。是个强大的命令行工具,用于配置 Linux 内核内置的防火墙,即 Netfilter。在 Linux 系统中,你可以使用多种工具和技术来进行 DNS 查询和 IP 限制。这个命令通常用于阻止特定 IP 地址发出的包含特定字符串的数据包。通过这些方法,你可以在 Linux 系统中实现灵活的 DNS 查询和 IP 限制策略。发出的目标端口为 80(HTTP)的 TCP 数据包,如果这些数据包中包含。命令也可以用于 DNS 查询。
【无标题】nftables 入门级干货,全无废话,句句精炼,分钟上手,居家必备收藏秘芨
cao_ni_mei2015的博客
04-21 1290
为了研究nftables流量统计,花天把nftables撸了遍,复杂的目前没需求,简单的咱不能不会。直接上干货,句句精炼。禁止些MAC主机联网。
2023 年江苏省职业院校技能大赛(中职)网络搭建与应用赛项公开赛卷——技能要求
qq_45871601的博客
03-13 1758
etc/named.rfc1912.zones.bj、/etc/named.rfc1912.zones.sh 三个不同 zones。/etc/httpd/conf.d/myweb.conf【80 和 443 相关配置都存放在 myweb.conf 文件,2.skills.com 访问时)自动 301 跳转到 https://web01.skills.com,在主机及。userinfo,在表中插入 2 条记录,分别为(1,user01,1995-7-1,男),(2,user02,
基于国产UOS操作系统第4章-防火墙技术
统信软件的博客
07-09 7241
什么是nfables? nftables是新的数据包分类框架,旨在取代现有的{ip,ip6,arp,eb} _tables基础结构。简而言之: 在大于等于3.13的Linux内核中可用。 它带有个新的命令行实用程序nft,其语法与iptables不同。 它还带有个兼容性层,该层允许您在新的nftables内核框架上运行iptables命令。 它提供了通用的集合基础结构,使您可以构造映射和串联。您可以使用此新功能将规则集排列在多维树中,这将大大减少需要检查的规则数量,直到找到对数据包的最终操作为止。 为什
CentOS 8 都发布了,你还不会用 nftables
weixin_45032957的博客
09-30 749
如果你没有生活在上个世纪,并且是云计算或相关领域的名搬砖者,那你应该听说最近 CentOS 8 官方正式版已经发布了,CentOS 完全遵守 Red Hat 的再发行政策,并且致力与上游产品在功能上完全兼容。CentOS 8 主要改动和 RedHat Enterprise Linux 8 是致的,基于 Fedora 28 和内核版本 4.18,其中网络方面的主要改动是用 nftables 框架...
linux nftables简介和基础操作
weixin_34356138的博客
11-27 1431
、什么是nftablesnftables 是新的数据包分类框架,新的linux防火墙管理程序,旨在替代现存的 {ip,ip6,arp,eb}_tables。简而言之: 它在 Linux 内核版本高于 3.13 时可用。 它有个新的命令行工具 ntf,它的语法与 iptables 不同。 它也包含了个兼容层,让你在新的 nftab...
nftables脚本例子:过滤和NAT
wangcg123的专栏
09-22 3077
#! /bin/bash #清空当前规则集: nft flush ruleset #查询当前规则集: nft list ruleset #添加个表: nft add table inet filter #添加input、forward和output三个基本链。input和forward的默认策略是drop。output的默认策略是accept。 nft add chain inet filter input { type filter hook input priority 0 \; policy .
Nftables代替iptables
yazhouren的专栏
07-02 3785
== 防火墙简述 == 新的防火墙子系统/包过滤引擎 Nftables 将在 Linux 3.13 中替代有十多年历史的iptables。iptables/netfilter在2001年加入到2.4内核中。诞生于2008年的 NFTables 设计替代 iptables, 它提供了个更简单的kernel ABI,减少重复代码,改进错误报告,更有效的支持过滤规则。除了iptables,NFT
QoS配置实例——标记和限速
永远是少年
07-19 1万+
今天给大家带来QoS的配置实例。本文主要使用华为eNSP模拟器,实现了QoS的标记和限速功能,配置的方法是MQC命令。 阅读本文,您需要又相当的QoS基础知识,如果您对此还存在疑惑,可以查阅我博客中的其他文章,相信您定会有所收获。 相关链接: 浅谈QoS——QoS概述、QoS基本原理、网络层QoS分类和标记字段详解、QoS中队列简介、QoS队列调度技术详解、QoS中拥塞避免机制详解——WRED技术详解、华为QoS中CBQ队列详解 、实验拓扑和要求 实验拓扑如上所示: 现在使用PC1-PC3分别模拟语音
nftables 中实现拒绝所有 ipv6 访问本机的 80、1020、 21 口
09-09
现在,nftables 将会拒绝所有来自 IPv6 地址的访问本机的 80、1020、21 口流量。 注意:请确保在进行以上操作之前,你对防火墙的规则配置有所了解,并且备份原有的规则,以防止意外失效导致其他问题出现。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值