nftables 测试一拒绝所有流量
要配置 nftables 先拒绝所有流量,然后再添加允许的规则,您可以按照以下步骤操作:
-
创建一个空的
nftables配置文件(例如/etc/nftables.conf)并添加如下内容:flush rulesettable inet filter {chain input {type filter hook input priority 0; policy drop;}chain forward {type filter hook forward priority 0; policy drop;}chain output {type filter hook output priority 0; policy drop;} }table ip6 filter {chain input {type filter hook input priority 0; policy drop;}chain forward {type filter hook forward priority 0; policy drop;}chain output {type filter hook output priority 0; policy drop;} }这将配置
nftables先拒绝所有流量。 -
加载
nftables配置:sudo nft -f /etc/nftables.conf这将加载并应用新的
nftables配置。 -
添加允许的规则:
根据您的需求,逐条添加允许的规则,例如允许SSH流量:
sudo nft add rule inet filter input tcp dport 22 accept这将允许来自外部网络的 SSH 流量。
请注意,这只是一个示例配置,实际配置可能需要根据您的网络环境和需求进行调整。确保您了解每条规则的含义和影响,并根据需要添加适当的规则。