在现代Linux系统中,防火墙是保障网络安全的第一道防线。随着iptables逐渐被取代,nftables作为新一代的包过滤框架,正成为Debian等主流发行版的默认选择。本文将手把手教你如何在Debian系统上使用nftables命令进行基础和进阶配置,即使是Linux小白也能轻松上手!
什么是nftables?
nftables 是由Netfilter项目开发的新一代数据包分类框架,旨在替代老旧的iptables、ip6tables、arptables和ebtables。它具有更简洁的语法、更高的性能以及统一的管理接口。
在Debian 10(Buster)及更高版本中,nftables已默认安装并启用。掌握Debian nftables命令对提升系统安全性至关重要。
第一步:安装与启用nftables
大多数Debian新版本已预装nftables,但为确保万无一失,请运行以下命令:
sudo apt updatesudo apt install nftables
安装完成后,启用并启动服务:
sudo systemctl enable nftablessudo systemctl start nftables
第二步:编写你的第一个nftables规则
nftables使用一种结构化的语言来定义规则。所有规则通常保存在
/etc/nftables.conf文件中。
下面是一个基础的配置示例,允许SSH(端口22)和HTTP(端口80)流量,拒绝其他所有入站连接:
#!/usr/sbin/nft -fflush rulesettable inet filter { chain input { type filter hook input priority 0; policy drop; # 允许本地回环 iif "lo" accept # 已建立的连接 ct state established,related accept # 允许SSH tcp dport 22 accept # 允许HTTP tcp dport 80 accept # 拒绝其他所有 reject with icmp type port-unreachable } chain forward { type filter hook forward priority 0; policy drop; } chain output { type filter hook output priority 0; policy accept; }}
将上述内容保存到
/etc/nftables.conf,然后加载配置:
sudo nft -f /etc/nftables.conf
常用nftables命令速查
nft list ruleset— 查看当前所有规则
nft flush ruleset— 清空所有规则
nft add rule inet filter input tcp dport 443 accept— 临时添加HTTPS规则
systemctl restart nftables— 重启服务并加载
/etc/nftables.conf
为什么选择nftables?
相比传统的iptables,nftables防火墙配置具有以下优势:
✅ 语法更简洁,减少配置错误 ✅ 支持原子更新,避免规则中断 ✅ 内置状态跟踪,性能更高 ✅ 统一IPv4/IPv6管理(inet family)结语:构建安全的Debian系统
通过本教程,你已经掌握了在Debian系统中使用nftables命令进行基本防火墙配置的方法。无论是个人服务器还是企业环境,合理配置Linux新一代防火墙都是保障Debian系统安全的关键一步。
建议定期审查规则、备份配置文件,并关注官方安全公告。安全无小事,从一道坚固的防火墙开始!
关键词:Debian nftables命令, nftables防火墙配置, Linux新一代防火墙, Debian系统安全
