一、NFTables 概述#

1.1 什么是 NFTables#

NFTables 是 Linux 内核中的包过滤框架，旨在替代已使用多年的 iptables。它首次出现在 Linux 3.13 内核中，由 Netfilter 项目开发。

1.2 设计目标#

统一语法：统一 IPv4、IPv6、ARP 和桥接的过滤规则
简化配置：提供更简洁、更易读的配置语法
更好的性能：改进的数据结构和处理机制
动态规则更新：支持原子规则更新
更好的扩展性：原生支持集合和映射

二、NFTables 架构原理#

2.1 核心组件#

1
表 (Table) → 链 (Chain) → 规则 (Rule)
2
    ↓
3
  集合 (Set) 和 映射 (Map)

2.2 与 Netfilter 的关系#

1
graph TB
2
    subgraph "用户空间"
3
        nft[NFT 命令行工具]
4
        libnftables[libnftables 库]
5
    end
6

7
    subgraph "内核空间"
8
        nft_api[Netfilter API]
9
        nft_vm[NFTables 虚拟机]
10
        sets[集合/映射]
11
        rules[规则表]
12
    end
13

14
    nft --> libnftables
15
    libnftables --> nft_api
16
    nft_api --> nft_vm
17
    nft_vam --> sets
18
    nft_vam --> rules

2.3 规则处理流程#

数据包到达网络接口
经过 Netfilter 钩子点
NFTables 规则链处理
根据匹配执行相应动作

三、NFTables 基本概念详解#

3.1 表 (Table)#

1
# 语法
2
nft add table <family> <name> [flags]
3

4
# 示例
5
nft add table ip filter
6
nft add table ip6 filter6
7
nft add table inet global   # 同时处理 IPv4 和 IPv6
8
nft add table bridge bridge-filter

地址族 (family):

ip: IPv4
ip6: IPv6
inet: IPv4 和 IPv6
arp: ARP
bridge: 桥接
netdev: 网络设备层

3.2 链 (Chain)#

1
# 语法
2
nft add chain [<family>] <table> <name> { type <type> hook <hook> priority <priority> \; [policy <policy>] \; }
3

4
# 示例
5
nft add chain ip filter input {
6
    type filter hook input priority 0; policy drop;
7
}
8

9
nft add chain ip filter forward {
10
    type filter hook forward priority 0; policy accept;
11
}

链类型:

filter: 过滤链
route: 路由链
nat: NAT 链

钩子点:

prerouting: 路由前
input: 输入
forward: 转发
output: 输出
postrouting: 路由后

优先级: 数值越小优先级越高

3.3 规则 (Rule)#

1
# 语法
2
nft add rule [<family>] <table> <chain> <matches> <statement>
3

4
# 示例
5
nft add rule ip filter input ip saddr 192.168.1.0/24 accept
6
nft add rule ip filter input tcp dport {22, 80, 443} accept

3.4 集合 (Set)#

1
# 创建命名集合
2
nft add set ip filter allowed_ips { type ipv4_addr; }
3

4
# 添加元素
5
nft add element ip filter allowed_ips { 192.168.1.1, 192.168.1.2 }
6

7
# 在规则中使用
8
nft add rule ip filter input ip saddr @allowed_ips accept

3.5 映射 (Map)#

1
# 创建映射
2
nft add map ip filter port_map { type inet_service : verdict; }
3

4
# 添加映射项
5
nft add element ip filter port_map { 80 : accept, 22 : drop }
6

7
# 在规则中使用
8
nft add rule ip filter input tcp dport vmap @port_map

四、NFTables 完整配置示例#

4.1 基本防火墙配置#

1
#!/usr/sbin/nft -f
2

3
flush ruleset
4

5
table inet filter {
6
    # 定义集合
7
    set allowed_ips {
8
        type ipv4_addr
9
        elements = { 192.168.1.0/24, 10.0.0.0/8 }
10
    }
11

12
    set ssh_ports {
13
        type inet_service
14
        elements = { 22, 2222 }
15
    }
16

17
    # 定义链
18
    chain input {
19
        type filter hook input priority 0; policy drop;
20

21
        # 允许本地回环
22
        iif lo accept
23

24
        # 允许已建立的连接
25
        ct state established,related accept
26

27
        # 允许特定IP访问SSH
28
        ip saddr @allowed_ips tcp dport @ssh_ports accept
29

30
        # 允许所有ICMP
31
        ip protocol icmp accept
32

33
        # 记录并拒绝其他
34
        log prefix "Dropped input: " group 0
35
    }
36

37
    chain forward {
38
        type filter hook forward priority 0; policy drop;
39
    }
40

41
    chain output {
42
        type filter hook output priority 0; policy accept;
43
    }
44
}

4.2 NAT 配置#

1
table ip nat {
2
    chain prerouting {
3
        type nat hook prerouting priority -100;
4

5
        # 端口转发
6
        tcp dport 80 dnat to 192.168.1.10:8080
7

8
        # 负载均衡
9
        tcp dport 443 dnat to { 192.168.1.11, 192.168.1.12 }
10
    }
11

12
    chain postrouting {
13
        type nat hook postrouting priority 100;
14

15
        # 源地址转换
16
        oif eth0 masquerade
17
    }
18
}

五、NFTables 高级特性#

5.1 流量整形#

1
# 限制上传速度
2
nft add rule ip filter output ip daddr != 192.168.1.0/24 \
3
    limit rate 1024 kbytes/second burst 5 mbytes accept
4

5
# 限制连接数
6
nft add rule ip filter input tcp dport 22 \
7
    ct count 3 accept

5.2 连接跟踪#

1
# 仅允许指定数量的连接
2
nft add rule ip filter input tcp dport 80 \
3
    ct state new limit rate 10/minute accept
4

5
# 限制每个IP的连接数
6
nft add rule ip filter input tcp dport 80 \
7
    ct state new add @conn_limit { ip saddr limit rate 5/minute } accept

5.3 日志记录#

1
# 基本日志
2
nft add rule ip filter input tcp dport 22 \
3
    log prefix "SSH attempt: " group 0 level info accept
4

5
# 带限制的日志
6
nft add rule ip filter input tcp flags syn \
7
    log prefix "SYN flood: " group 0 level warn limit rate 5/minute

六、NFTables vs iptables 详细对比#

6.1 架构对比#

特性	iptables	NFTables
架构	线性表结构	链表+集合+映射
规则处理	顺序匹配	更灵活的组合
内核模块	大量独立模块	统一框架
原子更新	不支持	支持

6.2 语法对比#

iptables:

1
iptables -A INPUT -s 192.168.1.0/24 -p tcp --dport 22 -j ACCEPT
2
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
3
iptables -A INPUT -j DROP

NFTables:

1
nft add rule ip filter input ip saddr 192.168.1.0/24 tcp dport 22 accept
2
nft add rule ip filter input tcp dport 80 accept
3
nft add rule ip filter input drop

6.3 性能对比#

场景	iptables	NFTables	优势
大量规则	O(n) 线性查找	O(1) 集合查找	NFTables 更快
规则更新	需要重启	原子更新	NFTables 更高效
内存使用	较高	较低	NFTables 更优

6.4 功能特性对比#

特性	iptables	NFTables
IPv4/IPv6 统一	需要 iptables/ip6tables	统一配置
集合支持	有限 (ipset)	原生支持
映射支持	不支持	原生支持
动态更新	部分支持	完整支持
日志记录	有限	增强

七、迁移指南：iptables 到 NFTables#

7.1 转换工具#

1
# 安装转换工具
2
apt install iptables-nftables-compat
3

4
# 转换规则
5
iptables-translate -A INPUT -p tcp --dport 22 -j ACCEPT
6
# 输出: nft add rule ip filter input tcp dport 22 accept
7

8
# 保存现有规则
9
iptables-save > iptables.rules
10
iptables-restore-translate -f iptables.rules > nftables.rules

7.2 常见转换示例#

iptables:

1
iptables -N MY_CHAIN
2
iptables -A INPUT -j MY_CHAIN
3
iptables -A MY_CHAIN -s 192.168.1.0/24 -j ACCEPT

NFTables:

1
nft add chain ip filter MY_CHAIN
2
nft add rule ip filter input jump MY_CHAIN
3
nft add rule ip filter MY_CHAIN ip saddr 192.168.1.0/24 accept

八、最佳实践和调优#

8.1 性能优化建议#

1
# 1. 使用集合减少规则数量
2
nft add set ip filter fast_path { type ipv4_addr; }
3
nft add element ip filter fast_path { 10.0.0.0/8, 192.168.0.0/16 }
4
nft add rule ip filter input ip saddr @fast_path accept
5

6
# 2. 使用映射优化端口匹配
7
nft add map ip filter port_policy {
8
    type inet_service : verdict
9
}
10
nft add element ip filter port_policy {
11
    80 : accept, 443 : accept, 22 : accept
12
}
13
nft add rule ip filter input tcp dport vmap @port_policy
14

15
# 3. 尽早返回常用流量
16
nft add rule ip filter input ct state established,related accept

8.2 配置管理#

1
# 保存配置
2
nft list ruleset > /etc/nftables.conf
3

4
# 恢复配置
5
nft -f /etc/nftables.conf
6

7
# 测试配置
8
nft -c -f /etc/nftables.conf
9

10
# 原子规则更新
11
nft -f new-rules.nft

8.3 监控和调试#

1
# 查看规则统计
2
nft list ruleset -a
3

4
# 监控数据包计数
5
nft reset counters
6
nft list ruleset
7

8
# 调试规则
9
nft --debug=netlink add rule ...
10
nft monitor trace

九、常见问题解决#

9.1 规则不生效#

1
# 检查规则顺序
2
nft list chain ip filter input -a
3

4
# 检查计数器
5
nft list ruleset -nn
6

7
# 检查内核支持
8
cat /proc/net/netfilter/nf_tables

9.2 性能问题#

1
# 检查规则数量
2
nft list ruleset | wc -l
3

4
# 检查集合使用
5
nft list sets
6

7
# 优化建议
8
# 1. 合并相似规则
9
# 2. 使用集合和映射
10
# 3. 减少复杂匹配

十、未来发展趋势#

10.1 eBPF 集成#

NFTables 正在与 eBPF 集成，提供更强大的可编程能力：

1
# 未来可能的语法
2
nft add rule ip filter input tcp dport 80 \
3
    bpf bytecode "..." accept

10.2 云原生支持#

容器网络策略
Kubernetes CNI 集成
服务网格集成

10.3 扩展功能#

更丰富的协议支持
更智能的流量分析
机器学习集成

总结#

NFTables 作为 iptables 的现代化替代品，提供了更简洁的语法、更好的性能和更强的功能。虽然学习曲线相对陡峭，但其统一性、可扩展性和性能优势使其成为现代 Linux 系统的理想选择。

选择建议：#

新系统：直接使用 NFTables
现有系统：逐步迁移到 NFTables
复杂场景：优先考虑 NFTables（集合、映射、性能）
简单场景：iptables 仍可使用，但建议学习 NFTables

学习路径：#

理解 NFTables 基本概念（表、链、规则）
掌握基本配置语法
学习集合和映射的使用
实践复杂策略配置
了解性能优化技巧