Gestión De Redes on KnightLi Blog

Comprensión del marco de trabajo de nftables: tablas, cadenas, reglas y conjuntos

Sat, 18 Apr 2026 10:31:12 +0800

Al aprender nftables, es fácil comenzar con los detalles del comando: cómo agregar una regla, cómo eliminar un identificador o cómo escribir una coincidencia de puerto. Los comandos son importantes, pero si primero comprende el marco, leer reglas, solucionar problemas y diseñar conjuntos de reglas será mucho más fácil.

Puedes pensar en nftables como una estructura en capas:

table aísla los espacios de nombres de reglas.
La “familia” decide a qué protocolos de red se aplican las reglas.
“cadena” decide en qué etapa se ejecutan las reglas.
La regla define el partido y la acción reales.
set, map y verdict map reducen las reglas repetidas y facilitan el mantenimiento de los conjuntos de reglas.

Las siguientes secciones explican estos conceptos capa por capa.

tabla: espacio de nombres de reglas

table es el contenedor de reglas más externo en nftables. Las diferentes tablas están aisladas entre sí, por lo que una práctica común es colocar reglas relacionadas en la misma tabla.

Por ejemplo, puede separar reglas de filtrado, reglas NAT o reglas de prueba personalizadas. Esto mantiene los límites claros: al depurar, sabes qué grupo de reglas estás cambiando; Al limpiar, es menos probable que elimines por error contenido no relacionado.

Una tabla en sí misma no procesa paquetes directamente. Los objetos de cadena y regla dentro de la tabla son los que realmente participan en el procesamiento de paquetes.

familia: a qué protocolos se aplican las reglas

Al crear una tabla, debe elegir una “familia”. Determina a qué tipo de paquetes se aplican las reglas de la tabla.

Las familias comunes se pueden entender de esta manera:

ip: solo maneja IPv4.
ip6: solo maneja IPv6.
inet: maneja tanto IPv4 como IPv6.
arp: maneja ARP.
bridge: maneja el tráfico de la capa de puente.
netdev: más cercano a la ruta de ingreso del dispositivo de red, adecuado para manejar el tráfico en una etapa anterior.

Para las reglas de firewall ordinarias, se utiliza comúnmente “inet”. Le permite mantener las reglas de IPv4 e IPv6 en la misma tabla y evita mantener dos estructuras de reglas similares.

cadena: Dónde se ejecutan las reglas

“cadena” es una lista de reglas. Después de que un paquete ingresa a un gancho, pasa por las reglas de la cadena en orden.

Las cadenas se pueden dividir a grandes rasgos en dos tipos:

Cadena base: adjunta a un gancho en la ruta de la red del kernel y llamada activamente por el flujo de paquetes.
Cadena normal: no unida directamente a un gancho; debe ser llamado mediante saltos de otras reglas.

Una cadena base suele especificar varias propiedades clave:

tipo: el propósito de la cadena, como filtro, nat o ruta.
hook: la etapa de procesamiento, como prerouting, input, forward, output o postrouting.
prioridad: cuando existen varias cadenas en el mismo gancho, esto decide cuál se ejecuta primero.
política: la acción predeterminada cuando no coincide ninguna regla, comúnmente aceptar o eliminar.

El punto clave es que las reglas no entran en vigor en cualquier lugar. La misma regla tiene un significado completamente diferente cuando se coloca en “entrada”, “adelante” o “salida”.

regla: Coincidir condiciones más acciones

La “regla” es donde nftables realmente toma decisiones. Suele constar de dos partes:

Condiciones de coincidencia: IP de origen, IP de destino, protocolo, puerto, interfaz, estado de conexión, etc.
Acciones: aceptar, soltar, rechazar, contrarrestar, saltar, regresar, etc. Las reglas se evalúan en orden. Después de que un paquete coincide con una acción que finaliza el procesamiento, las reglas posteriores ya no se evalúan. Si nada coincide, la evaluación continúa hasta que finaliza la cadena o se activa la política predeterminada.

Esta es la razón por la que el orden de las reglas es importante: las reglas más específicas generalmente deben aparecer antes que las reglas más amplias; de lo contrario, es posible que nunca tengan la oportunidad de ejecutarse.

set: Agrupar valores

Si necesita hacer coincidir muchas direcciones IP, puertos o interfaces, escribir muchas reglas separadas resulta difícil de mantener. set te permite administrar un grupo de valores del mismo tipo en un solo lugar.

Por ejemplo, un grupo de IP confiables, un grupo de puertos bloqueados o un grupo de direcciones que necesitan limitación de velocidad se pueden almacenar en un conjunto. La regla sólo necesita comprobar si un valor pertenece a ese conjunto.

Los beneficios del conjunto son:

Menos reglas.
Mejor legibilidad.
Adiciones y eliminaciones de elementos más sencillas posteriormente.

Cuando un conjunto de reglas contiene muchas condiciones repetidas, generalmente es el momento de considerar el conjunto.

map: asignar un valor coincidente a un resultado

“mapa” puede entenderse como una tabla de búsqueda. Devuelve un resultado basado en un valor de entrada.

Por ejemplo, diferentes puertos pueden asignarse a diferentes marcas, o diferentes direcciones pueden asignarse a diferentes parámetros de procesamiento. En comparación con escribir muchas reglas de estilo if/else, el mapa está más centralizado y es más fácil de mantener.

establecer respuestas “¿está este valor en la colección?”; el mapa responde “qué resultado corresponde a este valor”.

mapa de veredicto: asignar un valor coincidente a una acción

El “mapa de veredicto” es un uso importante del mapa: asigna un valor coincidente a un veredicto, lo que significa una acción de regla.

Por ejemplo, diferentes rangos de IP pueden corresponder a “aceptar”, “eliminar” o saltos a diferentes cadenas. Esto puede comprimir muchas ramas en una sola estructura.

Cuando un conjunto de reglas se vuelve más complejo, el mapa de veredictos es muy útil. Reduce las reglas repetidas y expresa la política más como una tabla que como una larga lista de declaraciones condicionales.

Diseñar reglas a partir de los conceptos

Al diseñar reglas de nftables, puedes pensar en este orden:

Primero decida a qué “familia” pertenecen las reglas.
Luego decida en qué “tabla” deberían entrar.
Elija el “gancho” y la “cadena” adecuados.
Escribe la “regla” concreta.
Si hay muchas condiciones repetidas, introduzca “conjunto”, “mapa” o “mapa de veredicto”.

Las reglas escritas de esta manera son más fáciles de mantener y de solucionar problemas.

Resumen

Los conceptos de nftables no son complicados, pero la jerarquía importa:

la tabla define los límites de las reglas.
la familia define el alcance del protocolo.
la cadena define la posición de ejecución.
la regla define la coincidencia y la acción.
establecer, mapear y veredicto gestionar la complejidad.

Primero comprenda estos conceptos y luego observe los comandos concretos. Esto es más confiable que memorizar comandos directamente. Especialmente después de que un conjunto de reglas crece, los conceptos claros lo ayudan a determinar si un problema está en el alcance del protocolo, la etapa de ejecución, el orden de las reglas o la condición de coincidencia en sí.

Referencias

https://docs.redhat.com/zh-cn/documentation/red_hat_enterprise_linux/10/html/configuring_firewalls_and_packet_filters/concepts-in-the-nftables-framework

Inicio rápido de nftables: tablas, cadenas, reglas y operaciones comunes

Sat, 18 Apr 2026 10:22:07 +0800

nftables es una herramienta común de administración de reglas de firewall y filtrado de paquetes en Linux. Si solo necesita control de acceso al dispositivo, contadores de tráfico, coincidencia de puertos o limitación de velocidad básica, no necesita aprender todo el sistema de reglas de una vez. Comience con tres conceptos:

table: un contenedor de reglas.
cadena: donde se evalúan las reglas, generalmente unidas a un gancho.
regla: la condición y acción coincidentes reales.

Este artículo describe un flujo de trabajo mínimo que es adecuado para realizar pruebas primero en un entorno seguro.

Estructura básica

Prepare algunas variables primero. Los siguientes comandos los reutilizan:

table=customtable
chain=custom_control
target=drop
ip=192.168.18.251
mac=00:00:01:02:03:04

Cree una tabla inet que admita IPv4 e IPv6:

`1`	`nft add table inet $table`

Luego cree una cadena adjunta a la etapa “adelante”:

`1`	`nft add chain inet $table $chain { type filter hook forward priority 0\; }`

Aquí, “tipo filtro” significa que se trata de una cadena de reglas de filtrado y “enganche hacia adelante” significa que procesa paquetes reenviados.

Métodos de coincidencia comunes

Coincidencia por IP de origen. Esto suele ser útil para la dirección de carga:

`1`	`nft add rule inet $table $chain ip saddr $ip $target`

Coincidencia por IP de destino. Esto suele ser útil para la dirección de descarga:

`1`	`nft add rule inet $table $chain ip daddr $ip $target`

Cuando se hace coincidir por dirección MAC, se puede usar ether saddr para controlar el tráfico ascendente:

`1`	`nft add rule inet $table $chain ether saddr $mac $target`

Tenga en cuenta que en redes que implican puenteo, reenvío o traducción de direcciones, es posible que los paquetes descendentes no siempre se filtren de manera confiable por MAC de destino. Para el control de acceso al dispositivo, comience validando primero ether saddr o las reglas basadas en IP.

Para hacer coincidir los puertos, puede cubrir tanto TCP como UDP:

`1`	`nft add rule inet $table $chain { tcp, udp } dport 22 $target`

Para hacer coincidir un rango de puertos, utilice una expresión de comparación:

`1`	`nft add rule inet $table $chain tcp dport \>= 1024 $target`

Contar el tráfico para un dispositivo

Si solo desea contar el tráfico de carga y descarga para una dirección IP, utilice “contrarretorno”. Después de una coincidencia, registra el contador y regresa, lo que puede reducir aún más los gastos generales de coincidencia cuando existan más reglas estadísticas más adelante.

1
2

nft add rule inet $table $chain ip saddr $ip counter return
nft add rule inet $table $chain ip daddr $ip counter return

Ver las estadísticas:

`1`	`nft list chain inet $table $chain`

Si necesita ver el “identificador” de cada regla, agregue “-a”:

`1`	`nft -a list chain inet $table $chain`

handle es importante porque nftables generalmente depende de él para eliminar una sola regla.

Limitación de tasa básica

La limitación de la tasa se puede realizar con “tasa límite superior”. Por ejemplo, limite el tráfico a una velocidad específica por dirección MAC:

rate=10
unit=mbytes

nft add rule inet $table $chain ether saddr $mac limit rate over $rate $unit/second drop

Aquí, “mbytes” y “kbytes” pueden entenderse como las unidades habituales M y K. No es necesario multiplicar manualmente por 8. En la práctica, comience con un valor más relajado, confirme la dirección y el efecto correspondientes y luego apriételo si es necesario.

Eliminar y limpiar reglas

Primera lista de reglas con valores de control:

`1`	`nft -a list chain inet $table $chain`

Luego elimine una regla por identificador:

`1`	`nft delete rule inet $table $chain handle <handle>`

Lavar una cadena:

`1`	`nft flush chain inet $table $chain`

Eliminar una cadena:

`1`	`nft delete chain inet $table $chain`

Eliminar toda la tabla:

`1`	`nft delete table inet $table`

Durante la depuración diaria, limpie únicamente la tabla que creó usted mismo. Evite cambiar directamente las tablas generadas automáticamente por el sistema u otros servicios. Esto facilita la reversión incluso si una regla está escrita incorrectamente.

Notas de uso

Cuando se utilizan nftables, suele ser más seguro crear primero su propia tabla y cadena independientes. Esto tiene dos beneficios:

Es menos probable que sus reglas se mezclen con las reglas del sistema existente.
La depuración, el vaciado y la eliminación son más seguros.

Después de escribir reglas, utilice siempre nft list chain para verificar el comportamiento de coincidencia real. Las reglas de MAC, interfaz, puerto y límite de velocidad pueden comportarse de manera diferente entre dispositivos, configuraciones de puente y versiones del sistema. Las pruebas de pequeño alcance son más seguras que escribir reglas complejas todas a la vez.

Referencias

https://www.right.com.cn/forum/thread-8369750-1-1.html