Linux nftables 是 Netfilter 的子项目,旨在替代现存的 {ip,ip6,arp,eb}_tables,自 Linux 内核 3.13 开始支持。
特点
- 和
iptables 类似,nftables 使用表来存储链,表包含规则链,规则链包含规则
- 比
iptables 更新速度更快,内核更新更少
安装
apt install -y nftables
使用
# 列出所有表
nft list tables
# 列出所有规则
nft list ruleset
# 列出filter表
nft list table filter
# 列出filter表input链
nft list chain filter input
# filter 操作
nft add table fillter
nft add rule filter input tcp dport 22 accept
nft delete rule filter input tcp dport 22 accept