nft
- nft – narzędzie wiersza poleceń służące do zarządzania regułami zapory sieciowej opartymi o framework nftables, który zastępuje starsze iptables, ip6tables, arptables i ebtables.
- Główne zastosowania: filtrowanie pakietów, konfiguracja NAT, filtrowanie warstwy 2–4, kontrola ruchu IPv4/IPv6.
- Dostępność: domyślnie w jądrze Linux od wersji 3.13+, narzędzie dostępne w pakiecie
nftables.
Składnia
Dział zatytułowany „Składnia”nft [opcje] polecenie [argumenty]- Polecenia mogą dodawać, usuwać, modyfikować lub wyświetlać obiekty nftables.
Parametry
Dział zatytułowany „Parametry”| Parametr | Opis |
|---|---|
list | Wyświetla bieżącą konfigurację nftables. |
add | Dodaje obiekt (np. tabelę, łańcuch, regułę). |
delete | Usuwa obiekt. |
flush | Czyści zawartość obiektu. |
replace | Zastępuje istniejącą regułę nową. |
--file <plik> | Wczytuje konfigurację z pliku. |
--handle | Operuje na regule po jej identyfikatorze. |
-f | Uruchamia polecenia z pliku konfiguracyjnego. |
Przykłady użycia
Dział zatytułowany „Przykłady użycia”# 1) Wyświetlenie całej konfiguracjisudo nft list ruleset# 2) Dodanie nowej tabeli dla IPv4sudo nft add table ip moja_tabela# 3) Dodanie łańcucha filtrującego w tabelisudo nft add chain ip moja_tabela input { type filter hook input priority 0; }# 4) Dodanie reguły blokującej ruch z IPsudo nft add rule ip moja_tabela input ip saddr 192.168.0.100 drop- Wymaga uprawnień administratora (
root). - Konfigurację można zapisać do pliku i ładować przy starcie systemu.
nftablesoferuje spójny interfejs dla IPv4, IPv6, ARP i bridge.- Zaleca się używanie
nftzamiast starszych narzędzi iptables.
Najczęściej spotykane błędy i jak je naprawić
Dział zatytułowany „Najczęściej spotykane błędy i jak je naprawić”| Błąd / Komunikat | Przyczyna | Rozwiązanie |
|---|---|---|
Error: Could not process rule | Błędna składnia lub brak obiektu. | Sprawdź dokumentację poleceń. |
Operation not permitted | Brak uprawnień administratora. | Użyj sudo. |
table not found | Operacja na nieistniejącej tabeli. | Utwórz tabelę przed dodaniem łańcucha lub reguły. |
Linki i źródła
Dział zatytułowany „Linki i źródła”- man nft – oficjalna dokumentacja.
- nftables wiki – przewodnik i przykłady.
- Migracja z iptables – poradnik migracyjny.