Debian中的nftables主要有以下几种表:
- filter:用于过滤数据包,可以根据源地址、目的地址、端口号等信息来允许或拒绝特定的数据包通过。
- nat:用于网络地址转换(NAT),可以修改数据包的源地址和目的地址,以实现内部网络设备访问外部网络的功能。
- mangle:用于修改数据包的头部信息,例如TTL(Time to Live)、DF(Don’t Fragment)等字段,以满足特定的网络需求。
- raw:用于配置不进行连接跟踪的数据包处理方式,通常用于配置防火墙规则以避免某些特定的连接跟踪问题。
- security:用于强制访问控制(MAC)安全策略,可以根据源地址、目的地址、端口号等信息来允许或拒绝特定的数据包通过,并支持访问控制列表(ACL)和标签等功能。
这些表可以单独使用,也可以组合使用,以满足不同的网络需求。在Debian系统中,可以使用nft list ruleset命令查看当前的nftables规则集,以及使用nft add table、nft delete table等命令来添加或删除表。
