如何创建filter表（若该表不存在）？

行业背景与趋势：防火墙技术的演进与CentOS的适配需求

随着云计算、容器化及微服务架构的普及，企业网络环境日益复杂，对防火墙技术的安全性、灵活性和性能提出了更高要求，传统iptables防火墙因规则语法复杂、扩展性受限等问题，逐渐被新一代的nftables取代，nftables作为Linux内核自带的防火墙框架，自2014年引入以来，凭借其简洁的语法、高效的性能及模块化设计,迅速成为企业级防火墙的首选方案。

CentOS作为企业级Linux发行版的代表，长期服务于金融、电信、政府等对安全性要求严苛的行业，CentOS 7及之前版本默认使用iptables，而CentOS 8起已全面转向nftables作为默认防火墙工具，这一转变不仅反映了技术迭代的必然性，也要求运维人员快速掌握nftables的配置方法，以适应新的安全需求，本文将从行业实践角度出发，系统解析CentOS环境下nftables的配置方法,并探讨其在实际场景中的应用价值。

nftables的核心优势与技术架构

nftables的设计目标在于解决iptables的三大痛点：规则冗余、性能瓶颈及语法复杂性,其核心优势体现在以下方面：

1. 统一规则集：nftables将链（Chain）、表（Table）、规则（Rule）等概念整合为单一数据结构，避免iptables中多表（如filter、nat、mangle）分散管理的问题,显著提升规则可读性。
2. 高性能匹配：通过优化内核层的数据包处理流程，nftables在复杂规则场景下仍能保持低延迟,尤其适合高并发网络环境。
3. 扩展性支持：支持自定义匹配条件（Match）和动作（Statement），可轻松集成DDoS防护、IP黑名单等高级功能。
4. 兼容性设计：nftables通过兼容层支持iptables规则,便于存量系统平滑迁移。

在CentOS中，nftables以nft命令行工具和libnftables库的形式提供服务,运维人员可通过直接编写规则文件或交互式命令完成配置。

CentOS下nftables的配置步骤详解

环境准备与工具安装

CentOS 8及以上版本默认安装nftables,可通过以下命令验证：

nft --version

若未安装,可通过EPEL仓库或官方源安装：

yum install nftables -y

基础规则配置示例

以下是一个典型的输入链（INPUT）规则配置，用于放行SSH、HTTP服务并拒绝其他流量：

# 添加INPUT链并设置默认策略为DROP
nft add chain ip filter INPUT { type filter hook input priority 0 \; policy drop \; }
# 放行本地回环接口
nft add rule ip filter INPUT iif lo accept
# 放行已建立的连接和相关连接
nft add rule ip filter INPUT ct state established,related accept
# 放行SSH（端口22）和HTTP（端口80）
nft add rule ip filter INPUT tcp dport { 22, 80 } accept
# 记录并拒绝其他流量
nft add rule ip filter INPUT log prefix "REJECTED: " level info
nft add rule ip filter INPUT reject with icmp type host-prohibited

规则持久化与系统启动加载

nftables规则默认不持久化,需通过以下步骤实现重启后自动加载：

1. 将规则保存至文件：

   nft list ruleset > /etc/sysconfig/nftables.conf

2. 创建systemd服务单元（或修改现有防火墙服务配置），确保开机时执行：

   nft -f /etc/sysconfig/nftables.conf

高级功能实现：NAT与流量重定向

nftables支持NAT功能，适用于内网穿透或负载均衡场景,以下示例展示如何将HTTP流量重定向至本地8080端口：

nft add table ip nat
nft add chain ip nat PREROUTING { type nat hook prerouting priority -100 \; }
nft add rule ip nat PREROUTING tcp dport 80 redirect to :8080

行业应用实践与优化建议

1. 金融行业：需结合nftables的IP黑名单功能，动态拦截恶意IP，可通过集成威胁情报平台（如Firehol）实现自动化规则更新。
2. 云计算环境：在OpenStack或Kubernetes集群中，nftables可与Calico等网络插件协同,实现细粒度的网络策略控制。
3. 性能调优：针对高并发场景，建议使用nft --debug=netlink分析规则匹配效率，优化规则顺序（如将高频规则前置）。

与iptables的迁移对比

对于从iptables迁移至nftables的用户,需注意以下差异：

• 语法简化：nftables使用ip saddr替代iptables的-s，tcp dport替代--dport。
• 链类型扩展：nftables支持type filter hook input等显式声明,而iptables依赖隐式链。
• 工具链兼容：可通过iptables-translate工具将现有iptables规则转换为nftables格式,降低迁移成本。

nftables——CentOS安全防护的未来之选

在网络安全威胁日益复杂的背景下，nftables凭借其高效性、灵活性和可维护性，已成为CentOS环境下防火墙配置的主流方案，运维人员需紧跟技术趋势，掌握nftables的配置方法，并结合行业需求定制安全策略，随着eBPF技术的融合，nftables有望进一步拓展其在网络监控、流量分析等领域的应用,为企业网络安全保驾护航。