掌握Centos nftables命令（Linux新一代防火墙配置完全指南）

为什么选择nftables？

• ✅ 语法更简洁，规则更易读写
• ✅ 支持原子更新，避免规则中断
• ✅ 单一命令行工具管理所有协议（IPv4/IPv6/ARP等）
• ✅ 内置状态跟踪和连接追踪功能

在CentOS上安装与启用nftables

大多数CentOS 8及以上版本已默认安装nftables。若未安装，请执行以下命令：

sudo dnf install nftables# 停用旧的firewalld（如果正在使用）sudo systemctl stop firewalldsudo systemctl disable firewalld# 启用并启动nftablessudo systemctl enable nftablessudo systemctl start nftables  

nftables基本命令结构

nftables使用类似编程语言的语法，核心概念包括：表（table）、链（chain）和规则（rule）。

• 表（table）：按地址族（如ip、ip6）组织规则集合
• 链（chain）：规则的容器，可指定钩子（hook）类型如input、output、forward
• 规则（rule）：具体的匹配条件和动作（accept/drop等）

实战：配置一个基础防火墙

下面我们将创建一个安全的基础防火墙配置，允许SSH、HTTP/HTTPS，并拒绝其他入站连接。

# 创建一个新的规则文件sudo nano /etc/nftables.conf# 在文件中输入以下内容#!/usr/sbin/nft -fflush rulesettable inet filter {  chain input {    type filter hook input priority 0; policy drop;    # 允许本地回环    iif "lo" accept    # 允许已建立的连接    ct state established,related accept    # 允许SSH (端口22)    tcp dport 22 accept    # 允许HTTP和HTTPS    tcp dport {80, 443} accept    # 可选：允许ICMP（ping）    icmp type echo-request accept  }  chain forward {    type filter hook forward priority 0; policy drop;  }  chain output {    type filter hook output priority 0; policy accept;  }}  

保存文件后，应用配置：

sudo nft -f /etc/nftables.conf  

常用nftables命令速查

• nft list ruleset — 查看当前所有规则
• nft flush ruleset — 清空所有规则
• nft add rule inet filter input tcp dport 8080 accept — 临时添加规则
• systemctl restart nftables — 重启服务加载/etc/nftables.conf

总结

通过本教程，你已经掌握了在CentOS系统中使用nftables命令配置新一代防火墙的基本方法。nftables不仅功能强大，而且语法清晰，是未来Linux网络安全管理的主流工具。建议将你的配置保存在/etc/nftables.conf中，并定期备份，以确保系统安全。

无论你是系统管理员还是开发者，掌握Linux新一代防火墙技术都是必备技能。希望这篇Centos防火墙教程能为你打下坚实基础！