nftables 使用教程

admin

原文链接：CentOS 8 都发布了，你还不会用 nftables？

如果你没有生活在上个世纪，并且是云计算或相关领域的一名搬砖者，那你应该听说最近 CentOS 8 官方正式版已经发布了，CentOS 完全遵守 Red Hat 的再发行政策，并且致力与上游产品在功能上完全兼容。CentOS 8 主要改动和 RedHat Enterprise Linux 8 是一致的，基于 Fedora 28 和内核版本 4.18，其中网络方面的主要改动是用 nftables 框架替代 iptables 框架作为默认的网络包过滤工具。如果你还没有听说过 nftables，现在是时候学习一下了。

nftables 是一个 netfilter 项目，旨在替换现有的 {ip,ip6,arp,eb}tables 框架，为 {ip,ip6}tables 提供一个新的包过滤框架、一个新的用户空间实用程序（nft）和一个兼容层。它使用现有的钩子、链接跟踪系统、用户空间排队组件和 netfilter 日志子系统。

nftables 主要由三个组件组成：内核实现、libnl netlink 通信和 nftables 用户空间。 其中内核提供了一个 netlink 配置接口以及运行时规则集评估，libnl 包含了与内核通信的基本函数，用户空间可以通过 nft 和用户进行交互。

本文主要介绍用户空间命令行工具 nft 的用法。

1. nftables VS iptables
nftables 和 iptables 一样，由表（table）、链（chain）和规则（rule）组成，其中表包含链，链包含规则，规则是真正的 action。与 iptables 相比，nftables 主要有以下几个变化：

iptables 规则的布局是基于连续的大块内存的，即数组式布局；而 nftables 的规则采用链式布局。其实就是数组和链表的区别，好像 Kubernetes 用户对此应该很兴奋？
iptables 大部分工作在内核态完成，如果要添加新功能，只能重新编译内核；而 nftables 的大部分工作是在用户态完成的，添加新功能很 easy，不需要改内核。
iptables 有内置的链，即使你只需要一条链，其他的链也会跟着注册；而 nftables 不存在内置的链，你可以按需注册。由于 iptables 内置了一个数据包计数器，所以即使这些内置的链是空的，也会带来性能损耗。
简化了 IPv4/IPv6 双栈管理
原生支持集合、字典和映射
回到 nftables，先来看一下默认的规则集是啥：

$ nft list ruleset
啥也没有，果然是没有内置的链啊（如果你关闭了 firewalld 服务）。

2. 创建表
nftables 的每个表只有一个地址簇，并且只适用于该簇的数据包。表可以指定五个簇中的一个：

nftables簇        iptables命令行工具
ip        iptables
ip6        ip6tables
inet        iptables和ip6tables
arp        arptables
bridge        ebtables
inet 同时适用于 IPv4 和 IPv6 的数据包，即统一了 ip 和 ip6 簇，可以更容易地定义规则，下文的示例都将采用 inet 簇。

先创建一个新的表：

$ nft add table inet my_table
列出所有的规则：

$ nft list ruleset
table inet my_table {
}
现在表中还没有任何规则，需要创建一个链来保存规则。

3. 创建链
链是用来保存规则的，和表一样，链也需要被显示创建，因为 nftables 没有内置的链。链有以下两种类型：

常规链 : 不需要指定钩子类型和优先级，可以用来做跳转，从逻辑上对规则进行分类。
基本链 : 数据包的入口点，需要指定钩子类型和优先级。
创建常规链：

$ nft add chain inet my_table my_utility_chain
创建基本链：

$ nft add chain inet my_table my_filter_chain { type filter hook input priority 0 \; }
反斜线（\）用来转义，这样 shell 就不会将分号解释为命令的结尾。
priority 采用整数值，可以是负数，值较小的链优先处理。
列出链中的所有规则：

$ nft list chain inet my_table my_utility_chain
table inet my_table {
        chain my_utility_chain {
        }
}

$ nft list chain inet my_table my_filter_chain
table inet my_table {
        chain my_filter_chain {
                type filter hook input priority 0; policy accept;
        }
}
4. 创建规则
有了表和链之后，就可以创建规则了，规则由语句或表达式构成，包含在链中。下面添加一条规则允许 SSH 登录：

$ nft add rule inet my_table my_filter_chain tcp dport ssh accept
add 表示将规则添加到链的末尾，如果想将规则添加到链的开头，可以使用 insert。

$ nft insert rule inet my_table my_filter_chain tcp dport http accept
列出所有规则：

$ nft list ruleset
table inet my_table {
        chain my_filter_chain {
                type filter hook input priority 0; policy accept;
                tcp dport http accept
                tcp dport ssh accept
        }
}
注意 http 规则排在 ssh 规则的前面，因为之前使用了 insert。

也可以将规则插入到链的指定位置，有两种方法：

1、 使用 index 来指定规则的索引。add 表示新规则添加在索引位置的规则后面，inser 表示新规则添加在索引位置的规则前面。index 的值从 0 开始增加。

$ nft insert rule inet my_table my_filter_chain index 1 tcp dport nfs accept
$ nft list ruleset
table inet my_table {
     chain my_filter_chain {
             type filter hook input priority 0; policy accept;
             tcp dport http accept
             tcp dport nfs accept
             tcp dport ssh accept
     }
}

$ nft add rule inet my_table my_filter_chain index 0 tcp dport 1234 accept
$ nft list ruleset
table inet my_table {
     chain my_filter_chain {
             type filter hook input priority 0; policy accept;
             tcp dport http accept
             tcp dport 1234 accept
             tcp dport nfs accept
             tcp dport ssh accept
     }
}
index 类似于 iptables 的 -I 选项，但有两点需要注意：一是 index 的值是从 0 开始的；二是 index 必须指向一个存在的规则，比如 nft insert rule … index 0 就是非法的。

2、 使用 handle 来指定规则的句柄。add 表示新规则添加在索引位置的规则后面，inser 表示新规则添加在索引位置的规则前面。handle 的值可以通过参数 --handle 获取。

$ nft --handle list ruleset
table inet my_table { # handle 10
     chain my_filter_chain { # handle 2
             type filter hook input priority 0; policy accept;
             tcp dport http accept # handle 4
             tcp dport 1234 accept # handle 6
             tcp dport nfs accept # handle 5
             tcp dport ssh accept # handle 3
     }
}

$ nft add rule inet my_table my_filter_chain handle 4 tcp dport 1234 accept
$ nft insert rule inet my_table my_filter_chain handle 5 tcp dport nfs accept
$ nft --handle list ruleset
table inet my_table { # handle 10
     chain my_filter_chain { # handle 2
             type filter hook input priority 0; policy accept;
             tcp dport http accept # handle 4
             tcp dport 2345 accept # handle 8
             tcp dport 1234 accept # handle 6
             tcp dport 3456 accept # handle 9
             tcp dport nfs accept # handle 5
             tcp dport ssh accept # handle 3
     }
}
在 nftables 中，句柄值是固定不变的，除非规则被删除，这就为规则提供了稳定的索引。而 index 的值是可变的，只要有新规则插入，就有可能发生变化。一般建议使用 handle 来插入新规则。

也可以在创建规则时就获取到规则的句柄值，只需要在创建规则时同时加上参数 --echo 和 --handle。

$ nft --echo --handle add rule inet my_table my_filter_chain udp dport 3333 accept
add rule inet my_table my_filter_chain udp dport 3333 accept # handle 10
5. 删除规则
单个规则只能通过其句柄删除，首先需要找到你想删除的规则句柄：

$ nft --handle list ruleset
table inet my_table { # handle 10
        chain my_filter_chain { # handle 2
                type filter hook input priority 0; policy accept;
                tcp dport http accept # handle 4
                tcp dport 2345 accept # handle 8
                tcp dport 1234 accept # handle 6
                tcp dport 3456 accept # handle 9
                tcp dport nfs accept # handle 5
                tcp dport ssh accept # handle 3
                udp dport 3333 accept # handle 10
        }
}
然后使用句柄值来删除该规则：

$ nft delete rule inet my_table my_filter_chain handle 8
$ nft --handle list ruleset
table inet my_table { # handle 10
        chain my_filter_chain { # handle 2
                type filter hook input priority 0; policy accept;
                tcp dport http accept # handle 4
                tcp dport 1234 accept # handle 6
                tcp dport 3456 accept # handle 9
                tcp dport nfs accept # handle 5
                tcp dport ssh accept # handle 3
                udp dport 3333 accept # handle 10
        }
}
6. 列出规则
前面的示例都是列出了所有规则，我们还可以根据自己的需求列出规则的一部分。例如：

列出某个表中的所有规则：

$ nft list table inet my_table
table inet my_table {
        chain my_filter_chain {
                type filter hook input priority 0; policy accept;
                tcp dport http accept
                tcp dport 1234 accept
                tcp dport 3456 accept
                tcp dport nfs accept
                tcp dport ssh accept
                udp dport 3333 accept
        }
}
列出某条链中的所有规则：

$ nft list chain inet my_table my_other_chain
table inet my_table {
    chain my_other_chain {
        udp dport 12345 log prefix "UDP-12345"
    }
}
7. 集合
nftables 的语法原生支持集合，可以用来匹配多个 IP 地址、端口号、网卡或其他任何条件。

匿名集合
集合分为匿名集合与命名集合，匿名集合比较适合用于将来不需要更改的规则。

例如，下面的规则允许来自源 IP 处于 10.10.10.123 ~ 10.10.10.231 这个区间内的主机的流量。

$ nft add rule inet my_table my_filter_chain ip saddr { 10.10.10.123, 10.10.10.231 } accept
$ nft list ruleset
table inet my_table {
        chain my_filter_chain {
                type filter hook input priority 0; policy accept;
                tcp dport http accept
                tcp dport nfs accept
                tcp dport ssh accept
                ip saddr { 10.10.10.123, 10.10.10.231 } accept
        }
}
匿名集合的缺点是，如果需要修改集合，就得替换规则。如果后面需要频繁修改集合，推荐使用命名集合。

之前的示例中添加的规则也可以通过集合来简化：

$ nft add rule inet my_table my_filter_chain tcp dport { http, nfs, ssh } accept
iptables 可以借助 ipset 来使用集合，而 nftables 原生支持集合，所以不需要借助 ipset。

命名集合
nftables 也支持命名集合，命名集合是可以修改的。创建集合需要指定其元素的类型，当前支持的数据类型有：

ipv4_addr : IPv4 地址
ipv6_addr : IPv6 地址
ether_addr : 以太网（Ethernet）地址
inet_proto : 网络协议
inet_service : 网络服务
mark : 标记类型
先创建一个空的命名集合：

$ nft add set inet my_table my_set { type ipv4_addr \; }
$ nft list sets
table inet my_table {
        set my_set {
                type ipv4_addr
        }
}
要想在添加规则时引用集合，可以使用 @ 符号跟上集合的名字。下面的规则表示将集合 my_set 中的 IP 地址添加到黑名单中。

$ nft insert rule inet my_table my_filter_chain ip saddr @my_set drop
$ nft list chain inet my_table my_filter_chain
table inet my_table {
        chain my_filter_chain {
                type filter hook input priority 0; policy accept;
                ip saddr @my_set drop
                tcp dport http accept
                tcp dport nfs accept
                tcp dport ssh accept
                ip saddr { 10.10.10.123, 10.10.10.231 } accept
        }
}
向集合中添加元素：

$ nft add element inet my_table my_set { 10.10.10.22, 10.10.10.33 }
$ nft list set inet my_table my_set
table inet my_table {
        set my_set {
                type ipv4_addr
                elements = { 10.10.10.22, 10.10.10.33 }
        }
}
如果你向集合中添加一个区间就会报错：

$ nft add element inet my_table my_set { 10.20.20.0-10.20.20.255 }

Error: Set member cannot be range, missing interval flag on declaration
add element inet my_table my_set { 10.20.20.0-10.20.20.255 }
                                   ^^^^^^^^^^^^^^^^^^^^^^^
要想在集合中使用区间，需要加上一个 flag interval，因为内核必须提前确认该集合存储的数据类型，以便采用适当的数据结构。

支持区间
创建一个支持区间的命名集合：

$ nft add set inet my_table my_range_set { type ipv4_addr \; flags interval
$ nft add element inet my_table my_range_set { 10.20.20.0/24 }
$ nft list set inet my_table my_range_set
table inet my_table {
        set my_range_set {
                type ipv4_addr
                flags interval
                elements = { 10.20.20.0/24 }
        }
}
子网掩码表示法会被隐式转换为 IP 地址的区间，你也可以直接使用区间 10.20.20.0-10.20.20.255 来获得相同的效果。

级联不同类型
命名集合也支持对不同类型的元素进行级联，通过级联操作符 . 来分隔。例如，下面的规则可以一次性匹配 IP 地址、协议和端口号。

$ nft add set inet my_table my_concat_set  { type ipv4_addr . inet_proto . inet_service \; }

$ nft list set inet my_table my_concat_set
table inet my_table {
        set my_concat_set {
                type ipv4_addr . inet_proto . inet_service
        }
}
向集合中添加元素：

$ nft add element inet my_table my_concat_set { 10.30.30.30 . tcp . telnet }
在规则中引用级联类型的集合和之前一样，但需要标明集合中每个元素对应到规则中的哪个位置。

$ nft add rule inet my_table my_filter_chain ip saddr . meta l4proto . tcp dport @my_concat_set accept
这就表示如果数据包的源 IP、协议类型、目标端口匹配 10.30.30.30、tcp、telnet 时，nftables 就会允许该数据包通过。

匿名集合也可以使用级联元素，例如：

$ nft add rule inet my_table my_filter_chain ip saddr . meta l4proto . udp dport { 10.30.30.30 . udp . bootps } accept
现在你应该能体会到 nftables 集合的强大之处了吧。

nftables 级联类型的集合类似于 ipset 的聚合类型，例如 hash:ip,port。

8. 字典
字典是 nftables 的一个高级特性，它可以使用不同类型的数据并将匹配条件映射到某一个规则上面，并且由于是哈希映射的方式，可以完美的避免链式规则跳转的性能开销。

例如，为了从逻辑上将对 TCP 和 UDP 数据包的处理规则拆分开来，可以使用字典来实现，这样就可以通过一条规则实现上述需求。

$ nft add chain inet my_table my_tcp_chain
$ nft add chain inet my_table my_udp_chain
$ nft add rule inet my_table my_filter_chain meta l4proto vmap { tcp : jump my_tcp_chain, udp : jump my_udp_chain }
$ nft list chain inet my_table my_filter_chain
table inet my_table {
    chain my_filter_chain {
    ...
    meta nfproto ipv4 ip saddr . meta l4proto . udp dport { 10.30.30.30 . udp . bootps } accept
    meta l4proto vmap { tcp : jump my_tcp_chain, udp : jump my_udp_chain }
    }
}
和集合一样，除了匿名字典之外，还可以创建命名字典：

$ nft add map inet my_table my_vmap { type inet_proto : verdict \; }
向字典中添加元素：

$ nft add element inet my_table my_vmap { 192.168.0.10 : drop, 192.168.0.11 : accept }
后面就可以在规则中引用字典中的元素了：

$ nft add rule inet my_table my_filter_chain ip saddr vmap @my_vmap
9. 表与命名空间
在 nftables 中，每个表都是一个独立的命名空间，这就意味着不同的表中的链、集合、字典等都可以有相同的名字。例如：

$ nft add table inet table_one
$ nft add chain inet table_one my_chain
$ nft add table inet table_two
$ nft add chain inet table_two my_chain
$ nft list ruleset
...
table inet table_one {
    chain my_chain {
    }
}
table inet table_two {
    chain my_chain {
    }
}
有了这个特性，不同的应用就可以在相互不影响的情况下管理自己的表中的规则，而使用 iptables 就无法做到这一点。

当然，这个特性也有缺陷，由于每个表都被视为独立的防火墙，那么某个数据包必须被所有表中的规则放行，才算真正的放行，即使 table_one 允许该数据包通过，该数据包仍然有可能被 table_two 拒绝。为了解决这个问题，nftables 引入了优先级，priority 值越高的链优先级越低，所以 priority 值低的链比 priority 值高的链先执行。如果两条链的优先级相同，就会进入竞争状态。

10. 备份与恢复
以上所有示例中的规则都是临时的，要想永久生效，我们可以将规则备份，重启后自动加载恢复，其实 nftables 的 systemd 服务就是这么工作的。

备份规则：

$ nft list ruleset > /root/nftables.conf
加载恢复：

$ nft -f /root/nftables.conf
在 CentOS 8 中，nftables.service 的规则被存储在 /etc/nftables.conf 中，其中 include 一些其他的示例规则，一般位于 /etc/sysconfig/nftables.conf 文件中，但默认会被注释掉。

11. 总结
希望通过本文的讲解，你能对 nftables 的功能和用法有所了解，当然本文只涉及了一些浅显的用法，更高级的用法可以查看 nftables 的官方 wiki，或者坐等我接下来的文章。相信有了本文的知识储备，你应该可以愉快地使用 nftables 实现 Linux 的智能分流了，具体参考这篇文章：Linux全局智能分流方案。

微信公众号
扫一扫下面的二维码关注微信公众号，在公众号中回复◉加群◉即可加入我们的云原生交流群，和孙宏亮、张馆长、阳明等大佬一起探讨云原生技术



本文作者：米开朗基杨

本文链接：https://www.cnblogs.com/ryanyangcs/p/11611730.html

版权声明：本作品采用知识共享署名-非商业性使用-禁止演绎 2.5 中国大陆许可协议进行许可。

admin

openwrt的nftable防火墙

/etc/nftable.d/10-custom-filter-chains.nft
这个文件可以用户自己修改
里面给出了2种

默认规则前和默认规则后的

根据需要吧
我觉得可能放前面好一点,这样自己定义的规则就是最优先的了

admin

感觉这帮做linux的程序员是不是吃饱了撑的

默认的iptables其实功能很强大全面了
然后非要做个firewall 也是基于iptables的
然后后来firewall又基于nftables了

简直多此一举
直接从iptables过度到nftables不就行了

admin

dnsmasq 最新版的支持nftset了

server=/test.com/127.0.0.1#5354
nftset=/test.com/4#inet#fw4#DNSMASQ,6#inet#fw4#DNSMASQ6


和ipset还是有一点区别的后面要指定表名



https://dnsmasq.org/docs/dnsmasq-man.html



这里有教程 可以看看
https://farkasity.gitbooks.io/nf ... /chapter6/sets.html


这个是红帽官方教程
https://access.redhat.com/docume ... es-chains-and-rules

admin

1. 写在最前面的说明:
   
2. 我本来是想直接用路由器科学的,结果路由器因为闪存容量不足,失败了
   
3. 然后我就用虚拟机装了个openwrt继续研究
   
4. 
   
5. 然后发现自己建立一个table的想法,需要在重启以后手动执行命令来激活自定义的表
   
6. nft -f /root/nftables.d/my_table.nft
   
7. 把上面这条语句放到开机脚本就行了
   
8. 
   
9. 目前遇到的坑
   
10. nftset 如果同时匹配src和dst会出问题
    
11. 我估计可能是bug
    
12. 
    
13. 然后还遇到一个问题就是ssht-go不能在开机自动执行,甚至我TM感觉这家伙是不是被招安了
    
14. 
    
15. 算了, 路由器刷了openwrt还是老老实实的当AP吧,甚至我感觉如果纯当AP用根本就不需要刷op
    
16. 
    
17. 以后不弄了,老老实实的用iptables和ipset来实现科学吧
    
18. 
    
19. 
    
20. 下面的东西慢慢找吧,有好的有坏的  我以后不研究nftables了
    
21. 
    
22. 
    
23. 
    
24. 研究把R6220改为可以科学
    
25. 有个缺点,最新版的op在这个路由器上只有17M的可用空间了  这128M的闪存 不知道怎么分配的.浪费了好多
    
26. 
    
27. 安装完整的dnsmasq
    
28. opkg remove dnsmasq && opkg install dnsmasq-full
    
29. 
    
30. #只能用这种方式  软链接单个文件的方式不行 然后没法跨分区进行硬链接 把下面3行放在一个脚本文件里面,然后脚本文件开机的时候执行一次 就可以实现dnsmasq额外使用自定义的conf
    
31. rm -rf /tmp/dnsmasq.d
    
32. ln -s /root/dnsmasq/dnsmasq.d /tmp/
    
33. service dnsmasq restart
    
34. 
    
35. 安装trojan-go
    
36. opkg install trojan-go
    
37. 使用的话2条命令
    
38. trojan-go -config  /root/config-nat.json 2>&1 &
    
39. trojan-go -config  /root/config-forward.json 2>&1 &
    
40. 
    
41. 
    
42. 安装v2ray
    
43. opkg install v2ray-core
    
44. v2ray -c /root/v2ray/v2ray-linux-64/v2ray-client.json 2>&1 &
    
45. 不知道为什么,在openwrt上这个运行不起来 算了,不用了
    
46. 
    
47. 
    
48. 
    
49. 
    
50. 
    
51. 
    
52. 
    
53. 
    
54. #使用自定义的nftables防火墙
    
55. 
    
56. 创建table
    
57. nft add table inet my_table
    
58. 
    
59. 查看table
    
60. nft list table inet my_table
    
61. 
    
62. 创建链
    
63. nft add chain inet my_table prerouting { type nat hook prerouting priority dstnat \;  policy accept \;}
    
64. 删除链
    
65. nft delete chain inet my_table prerouting
    
66. 查看链
    
67. nft list chain inet my_table prerouting
    
68. nft list chain inet fw4 dstnat
    
69. 
    
70. 
    
71. 端口重定向
    
72. nft add rule inet my_table prerouting tcp dport 1800 redirect to 1801
    
73. 
    
74. 删除重定向
    
75. 先查看handle值
    
76. nft --handle list chain inet my_table prerouting
    
77. 然后根据handle删除
    
78. nft delete rule inet my_table prerouting handle 8
    
79. 
    
80. 查看所有nftables的规则
    
81. nft list ruleset
    
82. 
    
83. 
    
84. 
    
85. 
    
86. iptables的转发
    
87. 
    
88.         #本地都直接return
    
89.         iptables -t nat -I PREROUTING 1 -i eth0 -p tcp -m set --match-set BENDI dst -j RETURN -m comment --comment "第1条内网"
    
90. iptables-translate -t nat -I PREROUTING 1 -i eth0 -p tcp -m set --match-set BENDI dst -j RETURN -m comment --comment "第1条内网"  #这里有ipset 翻译不成功
    
91. iptables-translate -A PREROUTING -i eth0 -d 192.168.1.0/24 -m comment --comment "第1条内网" -j RETURN #把ipset的部分去掉翻译就成功了
    
92. 下面是翻译完毕的
    
93. nft add rule inet my_table prerouting iifname "br-lan" ip daddr @BENDI counter return comment "第1条内网"    #这条成功添加了===============================================================
    
94. 
    
95. nft add rule inet fw4 dstnat iifname "br-lan" ip daddr @BENDI counter return comment "第1条内网"
    
96. 
    
97. 
    
98. iifname ens3 tcp dport { 80, 443 }
    
99. 
    
100. 
     
101.         #dnsmasq的走ssht
     
102.         iptables -t nat -I PREROUTING 2 -i eth0 -m set --match-set WOZIJI src -p tcp -m set --match-set DNSMASQ dst -j REDIRECT --to-ports 1081 -m comment --comment "第2条谷歌走SSHT 源IP是WOZIJI"
     
103. iptables-translate -t nat -I PREROUTING 2 -i eth0 -m set --match-set WOZIJI src -p tcp -m set --match-set DNSMASQ dst -j REDIRECT --to-ports 1081 -m comment --comment "第2条谷歌走SSHT 源IP是WOZIJI"
     
104. nft # -t nat -I PREROUTING 2 -i eth0 -m set --match-set WOZIJI src -p tcp -m set --match-set DNSMASQ dst -j REDIRECT --to-ports 1081 -m comment --comment 第2条谷歌走SSHT 源IP是WOZIJI
     
105. 
     
106. nft add rule inet my_table prerouting iifname "br-lan" ip protocol tcp ip saddr @WOZIJI ip daddr @DNSMASQ counter redirect to 1801 comment  "第2条谷歌走SSHT 源IP是WOZIJI"    #这条成功添加了===============================================================
     
107. nft add rule inet my_table prerouting iifname "br-lan" [ip protocol tcp ip][这里必须指定协议,如果需要udp的话需要另外写一条,其实貌似根本不会有udp吧] saddr @WOZIJI ip daddr @DNSMASQ counter redirect to 1801 comment  "第2条谷歌走SSHT 源IP是WOZIJI"   
     
108. ############
     
109. 为什么这里这一条没有生效?
     
110. 试试不要目的看看
     
111. nft add rule inet my_table prerouting iifname "br-lan" ip protocol tcp ip daddr @DNSMASQ counter redirect to 1801 comment  "第2条谷歌走SSHT 源IP是WOZIJI"
     
112. 不行
     
113. 
     
114. nft add rule inet my_table prerouting iifname "br-lan" ip protocol tcp ip saddr @WOZIJI counter redirect to 1801 comment  "第2条谷歌走SSHT 源IP是WOZIJI"
     
115. 不行
     
116. 
     
117. nft add rule inet my_table prerouting iifname "br-lan" ip protocol tcp ip saddr 192.168.1.179/32 counter redirect to :1081 comment "第3条180全局走香港,用于需要全局科学的情况"  
     
118. 可以
     
119. 
     
120. 试试SRC不用set
     
121. nft add rule inet my_table prerouting iifname "br-lan" ip protocol tcp ip saddr 192.168.1.179/32 ip daddr @DNSMASQ counter redirect to :1081 comment "试试SRC不用set"  
     
122. 可以
     
123. 
     
124. 卧槽,我估计是防火墙抽风,上面的几条实验结果作废,刚刚恢复正常速度了 使用第一条可以了
     
125. 
     
126. ############
     
127. 
     
128. nft add rule inet fw4 dstnat iifname "br-lan" ip protocol tcp ip daddr @DNSMASQ counter redirect to 1801 comment  "第2条谷歌走SSHT 源IP是WOZIJI"
     
129. 不知道为什么这个提示Error: Could not process rule: Not supported
     
130. 哦,懂了,默认的这条链 priority是filter  想要这样做必须是dstnat才行
     
131. 
     
132. 
     
133. 
     
134. 
     
135.         #这个是用于我自己玩游戏的时候走腾讯云方便加速的 先临时用一个重复的
     
136.         #iptables -t nat -I PREROUTING 3 -i eth0 -s 192.168.99.0/24 -p tcp -j RETURN -m comment --comment "第3条我自己的全局腾讯云加速"
     
137.         iptables -t nat -I PREROUTING 3 -i eth0 -s 192.168.11.180 -p tcp -j REDIRECT --to-ports 1081 -m comment --comment "forcebindIP的走香港"
     
138.                                  -A PREROUTING -s 192.168.11.180/32 -i eth0 -p tcp -m comment --comment "forcebindIP的走香港" -j REDIRECT --to-ports 1081
     
139. 
     
140. nft add rule inet my_table prerouting iifname "br-lan" ip protocol tcp ip saddr 192.168.1.180/32 counter redirect to :1081 comment "第3条180全局走香港,用于需要全局科学的情况"             #这条成功添加了===============================================================
     
141. nft add rule inet my_table prerouting iifname "br-lan" ip protocol tcp ip saddr @WOZIJI redirect to :1082 #这条成功添加了===============================================================
     
142. 这里的counter参数表示显示数据包数量
     
143. 
     
144. 
     
145. 
     
146. 
     
147. 
     
148. comment WOZIJI全局走香港
     
149. 
     
150.         #所有已知国内IP都走国内
     
151.         iptables -t nat -I PREROUTING 4 -i eth0 -p tcp -m set --match-set GUONEI dst -j RETURN -m comment --comment "第4条已知的国内IP都直接return"
     
152. nft add rule inet my_table prerouting iifname "br-lan" ip daddr @GUONEI counter return comment "第4条已知的国内IP都直接return"    #这条成功添加了===============================================================
     
153. 
     
154. 
     
155. 
     
156.         #剩下的IP全部走腾讯轻量(一般剩下的都是没有被gfw屏蔽,但是IP是国外的,用腾讯的服务器可以加速访问)
     
157.         iptables -t nat -I PREROUTING 5 -i eth0 -m set --match-set WOZIJI src -p tcp -j REDIRECT --to-ports 1082 -m comment --comment "第5条剩余的没有屏蔽的国外IP走腾讯云加速 源IP是WOZIJI"
     
158. nft add rule inet my_table prerouting iifname "br-lan" ip protocol tcp ip saddr @WOZIJI counter redirect to :1082 comment "第5条剩余的没有屏蔽的国外IP走腾讯云加速 源IP是WOZIJI"             #这条成功添加了===============================================================
     
159. 
     
160.         #我自己临时走腾讯
     
161.         #iptables -t nat -I PREROUTING 2 -i eth0 -s 192.168.10.179 -p tcp -j REDIRECT --to-ports 1082
     
162.         #iptables -t nat -I PREROUTING 6 -i eth0 -s 192.168.10.174 -p tcp -j REDIRECT --to-ports 1082
     
163. 
     
164.         #IPV6相关的
     
165.         ip6tables -t nat -I PREROUTING 1 -i eth0 -p tcp -m set --match-set DNSMASQ6 dst -j REDIRECT --to-ports 1081
     
166. 
     
167. 
     
168.         shijian=`date`
     
169.         echo $shijian >> /tmpfs/trojan-go.txt
     
170.         #IPV6的转发
     
171.         ip6tables -t nat -I POSTROUTING 1 -j MASQUERADE
     
172. 
     
173. 
     
174. 可以直接用
     
175. iptables-translate这个命令把iptables规则转换为nftables
     
176. 参考这里
     
177. https://access.redhat.com/documentation/zh-cn/red_hat_enterprise_linux/8/html/configuring_and_managing_networking/getting-started-with-nftables_configuring-and-managing-networking#ref_comparison-of-common-iptables-and-nftables-commands_assembly_migrating-from-iptables-to-nftables
     
178. 
     
179. 
     
180. 
     
181. 最后保存
     
182. nft list table inet my_table >/etc/nftables.d/my_table.nft
     
183. 
     
184. 
     
185. 
     
186. 
     
187. 
     
188. 
     
189. 
     
190. 
     
191. 
     
192. 
     
193. 
     
194. 
     
195. 
     
196. 
     
197. 
     
198. 查看fw4的prerouting 这里结果有些没有显示是哪个表 等我重启路由器再看看
     
199. nft list ruleset |grep prerouting
     
200. 得到结果如下
     
201. table inet my_table{
     
202.         chain prerouting {
     
203.                 type filter hook prerouting priority filter; policy accept;
     
204.                 type nat hook prerouting priority dstnat; policy accept;
     
205.         chain raw_prerouting {
     
206.                 type filter hook prerouting priority raw; policy accept;
     
207.         chain mangle_prerouting {
     
208.                 type filter hook prerouting priority mangle; policy accept;
     
209. 
     
210. }
     
211. 
     
212. 这里是NAT相关的教程
     
213. https://access.redhat.com/documentation/zh-cn/red_hat_enterprise_linux/8/html/securing_networks/configuring-nat-using-nftables_getting-started-with-nftables
     
214. 
     
215. 
     
216. 
     
217. 
     
218. 
     
219. 
     
220. 
     
221. #使用nftset
     
222. 
     
223. 
     
224. 创建
     
225. nft add set inet my_table WOZIJI { type ipv4_addr \; }   #对应ipset create WOZIJI hash:ip
     
226. 
     
227. nft add set inet my_table DNSMASQ { type ipv4_addr \; }   #对应ipset create DNSMASQ hash:ip
     
228. nft add set inet my_table DNSMASQ6 { type ipv6_addr \; }  #对应ipset create DNSMASQ6 hash:ip family inet6
     
229. 
     
230. nft add set inet my_table GUONEI { type ipv4_addr \; flags interval \; } #对应ipset create GUONEI hash:net
     
231. nft add set inet my_table BENDI { type ipv4_addr \; flags interval \; }
     
232. 
     
233. 删除
     
234. nft delete set inet my_table GUONEI
     
235. nft delete set inet my_table BENDI
     
236. 
     
237. 增加
     
238. nft add element inet my_table WOZIJI { 192.168.11.179, 192.168.11.157 }
     
239. nft add element inet my_table WOZIJI { 192.168.1.179 }
     
240. 
     
241. nft add element inet my_table BENDI { 172.16.0.0/12 }
     
242. 
     
243. 
     
244. 查看
     
245. nft list sets
     
246. 
     
247. 单个set查看
     
248. nft list set inet my_table  GUONEI
     
249. nft list set inet my_table  BENDI
     
250. nft list set inet my_table  WOZIJI
     
251. nft list set inet my_table  DNSMASQ
     
252. 
     
253. 
     
254. 
     
255. 
     
256. 
     
257. 
     
258. 
     
259. 
     
260. 
     
261. 
     
262. 
     
263. 
     
264. 这里的教程可以看看
     
265. https://cloud.tencent.com/developer/article/1585873
     
266. 
     
267. 
     
268. 
     
269. 
     
270. 
     
271. 
     
272. 
     
273. 
     
274. 
     
275. 
     
276. 
     
277. 
     
278. 
     
279. 
     
280. 
     
281. 
     
282. 
     
283. 
     
284. 
     
285. 
     
286. 创建
     
287. nft add set inet fw4 WOZIJI { type ipv4_addr \; }   #对应ipset create WOZIJI hash:ip
     
288. 
     
289. nft add set inet fw4 DNSMASQ { type ipv4_addr \; }   #对应ipset create DNSMASQ hash:ip
     
290. nft add set inet fw4 DNSMASQ6 { type ipv6_addr \; }  #对应ipset create DNSMASQ6 hash:ip family inet6
     
291. 
     
292. nft add set inet fw4 GUONEI { type ipv4_addr \; flags interval \; } #对应ipset create GUONEI hash:net
     
293. nft add set inet fw4 BENDI { type ipv4_addr \; flags interval \; }
     
294. 
     
295. 删除
     
296. nft delete set inet fw4 GUONEI
     
297. nft delete set inet fw4 BENDI
     
298. 
     
299. 增加
     
300. nft add element inet fw4 WOZIJI { 192.168.11.179, 192.168.11.157 }
     
301. nft add element inet fw4 WOZIJI { 192.168.1.179 }
     
302. 
     
303. nft add element inet fw4 BENDI { 172.16.0.0/12 }
     
304. 
     
305. 
     
306. 查看
     
307. nft list sets
     
308. 
     
309. 单个set查看
     
310. nft list set inet fw4  GUONEI
     
311. nft list set inet fw4  BENDI
     
312. 
     
313. 转发
     
314. 
     
315. #iptables -t nat -I PREROUTING 1 -i eth0 -p tcp -m set --match-set BENDI dst -j RETURN -m comment --comment "第1条内网"
     
316. nft list ruleset |grep prerouting
     
317. 得到结果如下
     
318. table inet fw4{
     
319.         chain prerouting {
     
320.                 type filter hook prerouting priority filter; policy accept;
     
321.                 type nat hook prerouting priority dstnat; policy accept;
     
322.         chain raw_prerouting {
     
323.                 type filter hook prerouting priority raw; policy accept;
     
324.         chain mangle_prerouting {
     
325.                 type filter hook prerouting priority mangle; policy accept;
     
326. 
     
327. }
     
328. 
     
329. 
     
330. 
     
331. 
     
332. 
     
333. 
     
334. #dnsmasq里面解析自动进入nftset
     
335. nftset=/first.allowed.urls/4#inet#fw4#DNSMASQ,6#inet#fw4#DNSMASQ6
     
336. 
     
337. 
     
338. 
     
339. 
     
340. 
     
341. 
     
342. 
     
343. 
     
344. 
     
345. 
     
346. 
     
347. 
     
348. iptables-restore-translate -f /root/iptables.dump > /root/ruleset-migrated-from-iptables.nft
     
349. 
     
350. 
     
351. iptables-translate -A PREROUTING -i eth0 -d 192.168.1.0/24 -m comment --comment "第1条内网" -j RETURN
     

复制代码