Linux 操作系统提供了多种方式来实现防火墙功能，确保系统免受网络攻击和未经授权的访问。在这些方式中，iptables 和 nftables 是最常见的两种防火墙工具。它们是 Linux 内核的关键组件，广泛应用于服务器、网络设备等多种场景。本文将介绍这两种工具的特点、区别、使用方法和使用场景，帮助用户更好地理解如何配置 Linux 防火墙。

1. iptables：传统的防火墙工具

iptables 是 Linux 系统中的传统防火墙工具，最早出现在 Linux 2.4 版本中。它基于内核中的 netfilter 框架，用于过滤和控制网络流量。iptables 通过设置规则来决定是否允许数据包通过，规则可以依据源地址、目标地址、端口号、协议类型等进行匹配。

1.1 iptables 的基本工作原理

iptables 配置基于“链”与“规则”的模型，每个链由一组规则组成。常见的链包括：

• INPUT：处理进入本机的流量。
• OUTPUT：处理离开本机的流量。
• FORWARD：处理转发的流量，即流量通过本机传递到其他网络。

管理员可以为每条链定义多个规则，指定哪些流量允许、哪些流量被拒绝。常见的规则操作包括 ACCEPT、DROP 和 REJECT。

1.2 iptables 的使用方法

1.2.1 查看当前规则

要查看当前的防火墙规则，可以使用以下命令：

sudo iptables -L

1.2.2 添加规则

假设要允许来自特定 IP 地址（如 192.168.1.100）的 HTTP 请求，可以使用以下命令：

sudo iptables -A INPUT -p tcp --dport 80 -s 192.168.1.100 -j ACCEPT

该命令的含义是：

• A INPUT：将规则添加到 INPUT 链。
• p tcp --dport 80：匹配 TCP 协议和目标端口为 80（即 HTTP）的数据包。
• s 192.168.1.100：来源 IP 地址为 192.168.1.100。
• j ACCEPT：允许这些数据包通过。

1.2.3 删除规则

如果需要删除某个规则，可以使用 -D 选项：

sudo iptables -D INPUT -p tcp --dport 80 -s 192.168.1.100 -j ACCEPT

1.2.4 保存规则

在 iptables 中，规则默认不会在重启后保留。要保存规则并使其在重启后依然有效，可以使用 iptables-save 命令：

sudo iptables-save > /etc/iptables/rules.v4

1.3 iptables 的优点与局限

iptables 作为经典的防火墙工具，有着广泛的应用基础和丰富的文档支持。它适合于大多数标准防火墙需求。然而，iptables 存在一些不足，尤其是在规则管理方面。当规则数量较多时，配置和管理会变得复杂，且性能会受到一定影响。

2. nftables：现代化的防火墙工具

随着 Linux 内核版本的升级，nftables 于 Linux 3.13 版本中正式发布。它是对 iptables 的一种重构，旨在提供更高效、更灵活的防火墙解决方案。

2.1 nftables 的基本工作原理

nftables 采用了更简洁的配置语法和更灵活的规则处理机制。与 iptables 相比，nftables 引入了一个统一的命令框架，支持过滤、NAT、路由等多种功能。nftables 的规则通过“表”（Table）、“链”（Chain）和“规则”（Rule）进行组织，允许管理员更高效地管理和处理网络流量。

2.2 nftables 的使用方法

2.2.1 查看当前规则

要查看当前的 nftables 规则，可以使用以下命令：

sudo nft list ruleset

2.2.2 添加规则

假设要允许来自特定 IP 地址（如 192.168.1.100）的 HTTP 请求，可以使用以下命令：

sudo nft add rule ip filter input ip saddr 192.168.1.100 tcp dport 80 accept

该命令的含义是：

• ip：表示规则适用于 IPv4。
• filter：表示规则作用于过滤表（默认表）。
• input：表示规则作用于 input 链。
• ip saddr 192.168.1.100：来源 IP 地址为 192.168.1.100。
• tcp dport 80：匹配目标端口为 80（即 HTTP）的 TCP 流量。
• accept：允许该数据包通过。

2.2.3 删除规则

要删除某个规则，可以使用以下命令：

sudo nft delete rule ip filter input handle 1

其中 handle 是规则的标识符，可以通过 nft list ruleset 命令查看。

2.2.4 保存规则

在 nftables 中，规则可以通过以下命令保存：

sudo nft list ruleset > /etc/nftables.conf

此后，可以通过启动脚本加载该规则集。

2.3 nftables 的优势

• 性能提升：nftables 比 iptables 更高效，它通过更少的内核模块和减少冗余操作来提升性能。
• 简洁的语法：nftables 提供了比 iptables 更简洁且易于理解的命令行工具，使得规则的配置和管理更加直观。
• 灵活的规则管理：支持多种匹配条件，如 IP 地址、端口号、协议、状态等，可以更精细地控制网络流量。
• 向后兼容：虽然 nftables 是新的防火墙工具，但它保持对 iptables 规则的兼容性，用户可以平滑过渡。

3. iptables 与 nftables 的对比

3.1 性能和效率

nftables 在性能上相较于 iptables 更为优秀。由于其设计理念更加现代化，nftables 的规则处理速度更快，能够更好地应对高流量、高并发的场景，特别是在多核处理器环境下表现尤为突出。

3.2 配置和语法

• iptables：语法较为复杂且繁琐，尤其是在需要配置多个规则或多个链时，管理难度较大。
• nftables：采用了更加简洁和灵活的配置方式，规则管理变得更加高效。例如，nftables 支持在单条命令中完成多个规则的配置，并支持更为直观的语法结构。

3.3 兼容性

尽管 nftables 是新的防火墙工具，但它保持对旧版 iptables 的兼容。Linux 系统允许同时使用 nftables 和 iptables，在过渡期间，用户可以继续使用 iptables 规则，而不需要立即做出全面的迁移。

3.4 安全性

在安全性方面，iptables 和 nftables 都能够有效地过滤和控制网络流量，防止恶意攻击。然而，nftables 引入了一些新的功能，如状态跟踪和更多的自定义条件，可以为系统提供更精细化的安全控制。

4. 如何从 iptables 迁移到 nftables？

对于已经使用 iptables 的用户，迁移到 nftables 并不复杂。nftables 提供了一个转换工具，能够将现有的 iptables 规则转换为 nftables 格式。管理员可以使用 nft 命令轻松管理和配置 nftables，并在需要时逐步移植现有规则。

虽然 nftables 目前已成为新版本 Linux 系统的默认防火墙工具，但在一些老旧的 Linux 系统中，iptables 仍然是主流工具。管理员可以根据系统需求和具体环境选择合适的工具。

5. 总结

• iptables：作为经典的防火墙工具，

适合大多数传统 Linux 系统，具有丰富的文档和社区支持。但其配置复杂，规则管理困难，尤其在高流量的场景中性能较差。

• nftables：是更现代化的防火墙工具，提供更高效的性能和更灵活的规则管理。它适用于高性能要求和大规模的网络环境，并且向后兼容 iptables，便于过渡。

随着 Linux 内核版本的更新，nftables 将逐步取代 iptables，成为默认的防火墙工具。对于管理员而言，掌握 nftables 将是提高防火墙配置效率和性能的关键。🚀

---

📌 有什么问题和经验想分享？欢迎在评论区交流、点赞、收藏、关注！ 🎯