運維 on KnightLi的博客

理解 nftables 框架：表、鏈、規則和集合

Sat, 18 Apr 2026 10:31:12 +0800

學習 nftables 時，容易一開始就陷入命令細節：怎麼新增規則、怎麼刪除 handle、怎麼寫連接埠匹配。命令當然重要，但如果先把框架概念理清楚，後面讀規則、排查問題和設計規則集都會輕鬆很多。

可以把 nftables 理解成一套分層結構：

table 負責隔離規則空間。
family 決定規則處理哪類網路協定。
chain 決定規則在什麼階段執行。
rule 負責具體匹配和動作。
set、map、verdict map 用來減少重複規則，讓規則集更易維護。

下面按概念逐層說明。

table：規則的命名空間

table 是 nftables 裡最外層的規則容器。不同 table 之間相互隔離，因此常見做法是把一組相關規則放進同一個 table。

例如，你可以把過濾規則、NAT 規則或自訂測試規則分開放。這樣做的好處是邊界清楚：除錯時知道自己在改哪一組規則，清理時也不容易誤刪無關內容。

table 本身不會直接處理封包。真正參與封包處理的是 table 裡面的 chain 和 rule。

family：規則面對哪類協定

建立 table 時需要選擇 family。它決定這張表裡的規則適用於哪類封包。

常見 family 可以這樣理解：

ip：只處理 IPv4。
ip6：只處理 IPv6。
inet：同時處理 IPv4 和 IPv6。
arp：處理 ARP。
bridge：處理橋接層流量。
netdev：更靠近網路設備入口，適合較早階段處理流量。

日常寫普通防火牆規則時，inet 很常用。它可以把 IPv4 和 IPv6 規則放在同一個 table 裡，避免維護兩套結構相似的規則。

chain：規則執行的位置

chain 是 rule 的列表。封包進入某個 hook 後，會按順序經過 chain 裡的規則。

chain 大致可以分為兩類：

基本 chain：掛到核心網路路徑的某個 hook 上，會被封包流程主動呼叫。
常規 chain：不直接掛 hook，需要被其他規則跳轉呼叫。

基本 chain 通常會指定幾個關鍵屬性：

type：這條 chain 的用途，例如 filter、nat、route。
hook：掛在哪個處理階段，例如 prerouting、input、forward、output、postrouting。
priority：同一個 hook 上有多條 chain 時，誰先執行。
policy：沒有規則匹配時的預設動作，常見是 accept 或 drop。

理解 chain 的關鍵是：規則不是「隨便寫在哪裡都能生效」。同一條規則放在 input、forward 或 output，含義完全不同。

rule：匹配條件加動作

rule 是 nftables 裡真正做判斷的地方。它通常由兩部分組成：

匹配條件：例如來源 IP、目標 IP、協定、連接埠、介面、連線狀態。
動作：例如 accept、drop、reject、counter、jump、return。

規則會按順序求值。封包命中某條會終止流程的動作後，就不會繼續執行後面的規則。沒有命中時，則繼續往下走，直到 chain 結束或觸發預設策略。

這也是為什麼規則順序很重要：更具體的規則通常要放在更寬泛的規則前面，否則可能永遠沒有機會被執行。

set：把一組值放在一起

如果有很多 IP、連接埠或介面需要匹配，直接寫多條規則會很難維護。set 用來把一組同類型的值集中管理。

例如，一組可信 IP、一組禁止存取的連接埠、一組需要限速的位址，都可以放進 set。規則只需要判斷某個值是否屬於這個 set。

set 的好處是：

規則數量更少。
可讀性更好。
後續增刪元素更方便。

當規則裡出現大量重複條件時，通常就該考慮用 set。

map：把匹配值映射成結果

map 可以理解成「查表」。它根據一個輸入值返回一個結果。

例如，不同連接埠映射到不同標記，不同位址映射到不同處理參數，都可以透過 map 表達。相比寫多條 if/else 式規則，map 更集中，也更容易維護。

set 關心的是「是否在集合裡」，map 關心的是「這個值對應什麼結果」。

verdict map：把匹配值映射成動作

verdict map 是 map 的一個重要用法：它把匹配值映射成 verdict，也就是規則動作。

例如，不同 IP 段可以對應 accept、drop 或跳轉到不同 chain。這樣可以把很多分支判斷壓縮到一個結構裡。

當規則集開始變複雜時，verdict map 很有用。它能減少重複規則，也能把策略表達得更像一張表，而不是一長串判斷語句。

從概念看規則設計

設計 nftables 規則時，可以按這個順序思考：

先確定規則屬於哪個 family。
再決定放進哪個 table。
然後選擇合適的 hook 和 chain。
最後編寫具體 rule。
如果重複條件很多，再引入 set、map 或 verdict map。

這樣寫出來的規則會更容易維護，也更容易排錯。

小結

nftables 的概念並不複雜，但層級很重要：

table 管規則邊界。
family 管協定範圍。
chain 管執行位置。
rule 管匹配和動作。
set、map、verdict map 管複雜度。

先理解這些概念，再去看具體命令，會比直接背命令更穩。尤其是在規則集變多以後，概念清楚能幫助你判斷：問題到底出在協定範圍、執行階段、規則順序，還是匹配條件本身。

參考

https://docs.redhat.com/zh-cn/documentation/red_hat_enterprise_linux/10/html/configuring_firewalls_and_packet_filters/concepts-in-the-nftables-framework

nftables 快速入門：表、鏈、規則和常用操作

Sat, 18 Apr 2026 10:22:07 +0800

nftables 是 Linux 上常用的封包過濾和防火牆規則管理工具。如果只是做設備連線控制、流量統計、連接埠匹配或簡單限速，不需要一開始就把完整規則體系全部學完，先理解三個概念就夠了：

table：規則的容器。
chain：規則執行的位置，通常會掛到某個 hook 上。
rule：真正的匹配條件和動作。

下面整理一套最小可用的入門流程，適合先在測試環境裡做實驗。

基礎結構

先準備幾個變數，後面的命令會重複使用：

table=customtable
chain=custom_control
target=drop
ip=192.168.18.251
mac=00:00:01:02:03:04

建立一個同時支援 IPv4 和 IPv6 的 inet table：

`1`	`nft add table inet $table`

再建立一條掛在 forward 階段的 chain：

`1`	`nft add chain inet $table $chain { type filter hook forward priority 0\; }`

這裡的 type filter 表示做過濾規則，hook forward 表示處理經過轉發的封包。

常見匹配方式

按來源 IP 匹配，通常可以理解為設備上傳方向：

`1`	`nft add rule inet $table $chain ip saddr $ip $target`

按目標 IP 匹配，通常可以理解為設備下載方向：

`1`	`nft add rule inet $table $chain ip daddr $ip $target`

按 MAC 位址匹配時，可以用 ether saddr 控制上行：

`1`	`nft add rule inet $table $chain ether saddr $mac $target`

需要注意的是，在經過橋接、轉發或位址轉換的網路裡，下行封包未必能可靠用目標 MAC 過濾。實際做設備連線控制時，優先從 ether saddr 或 IP 規則開始驗證。

匹配連接埠時，可以同時覆蓋 TCP 和 UDP：

`1`	`nft add rule inet $table $chain { tcp, udp } dport 22 $target`

如果要匹配連接埠範圍，可以使用比較表達式：

`1`	`nft add rule inet $table $chain tcp dport \>= 1024 $target`

統計單個設備流量

如果只是想統計某個 IP 的上下行流量，可以用 counter return。這樣命中後記錄計數並返回，後面還有其他統計規則時，能減少繼續匹配的開銷。

1
2

nft add rule inet $table $chain ip saddr $ip counter return
nft add rule inet $table $chain ip daddr $ip counter return

查看統計結果：

`1`	`nft list chain inet $table $chain`

如果需要看到每條規則的 handle，加上 -a：

`1`	`nft -a list chain inet $table $chain`

handle 很重要，因為 nftables 刪除單條規則時通常要靠它定位。

簡單限速

限速可以用 limit rate over。例如按 MAC 位址限制超過指定速率的流量：

rate=10
unit=mbytes

nft add rule inet $table $chain ether saddr $mac limit rate over $rate $unit/second drop

這裡的 mbytes、kbytes 可以按日常理解的 M、K 來看，不需要再手動做 8 倍換算。實際使用時建議先用較寬鬆的值測試，確認命中方向和效果後再收緊。

刪除和清理規則

先查看帶 handle 的規則：

`1`	`nft -a list chain inet $table $chain`

再按 handle 刪除某條規則：

`1`	`nft delete rule inet $table $chain handle <handle>`

清空某條 chain：

`1`	`nft flush chain inet $table $chain`

刪除 chain：

`1`	`nft delete chain inet $table $chain`

刪除整個 table：

`1`	`nft delete table inet $table`

日常除錯時，建議先只清理自己建立的 table，不要直接改系統或其他服務自動生成的 table。這樣即使規則寫錯，也更容易回滾。

使用建議

使用 nftables 時，可以優先自己建立獨立的 table 和 chain。這樣做有兩個好處：

不容易和系統已有規則混在一起。
除錯、清空和刪除都更安全。

另外，規則寫完後一定要用 nft list chain 看實際命中情況。尤其是 MAC、介面、連接埠和限速規則，不同設備、橋接方式和系統版本下表現可能不同，先小範圍測試比一次性寫複雜規則更穩。

參考

https://www.right.com.cn/forum/thread-8369750-1-1.html