亚索的笔记

以下是 Linux 下 ufw、firewalld、iptables、nftables 四种防火墙工具的详细对比，涵盖功能、配置难度、应用场景等核心维度：

一、核心对比表

维度	ufw	firewalld	iptables	nftables
定位	简化前端工具	动态防火墙管理工具	传统底层包过滤工具	现代底层包过滤框架
底层依赖	iptables	iptables 或 nftables	Netfilter 内核模块	Netfilter 内核模块（统一框架）
配置语法	人类可读的命令（`allow`, `deny`）	`firewall-cmd` 命令 + XML 配置文件	基于规则的链式语法（`-A`, `-j`）	统一语法（类似编程语言）
动态更新	需重启生效	支持运行时更新（无需重启服务）	规则立即生效，但需手动保存	规则立即生效，支持原子操作
NAT/端口转发	支持（需手动配置）	直接支持（富规则/端口转发）	需手动配置 NAT 表	直接支持（集成 NAT 功能）
区域管理	无	支持多区域（public/dmz 等）	无	无（但可通过命名集模拟）
规则持久化	自动保存	`--permanent` + `--reload`	需手动保存（如 `iptables-save`）	直接保存到配置文件
学习曲线	低（新手友好）	中（需理解区域/服务概念）	高（需熟悉链/表结构）	中高（新语法需适应）
性能	与 iptables 一致	与底层（iptables/nftables）一致	较高（但规则过多时性能下降）	更高效（统一内核处理）
主要发行版支持	Ubuntu/Debian 系默认	RHEL/CentOS/Fedora 默认	所有 Linux 系统	较新系统（RHEL 8+/Ubuntu 20.04+ 默认）
典型场景	单服务器快速配置	企业多区域网络环境	需要精细控制的老旧系统	新项目或长期维护的复杂规则

二、功能对比详解

1. 规则管理

ufw：通过简单命令（如 allow 80/tcp）管理规则，隐藏底层复杂性。
firewalld：基于服务（Service）和区域（Zone）抽象规则，支持运行时动态加载。
iptables：直接操作 INPUT/OUTPUT/FORWARD 链，需手动处理规则顺序。
nftables：统一语法处理 IPv4/IPv6，支持命名集（set）和映射（map）高级功能。

2. NAT 支持

ufw：需手动编辑 /etc/ufw/*.rules 文件添加 iptables 规则。
firewalld：通过 --add-rich-rule 或端口转发直接配置。
iptables：需在 nat 表中配置 PREROUTING/POSTROUTING 链。
nftables：内置 NAT 支持，语法更简洁（如 masquerade 命令）。

3. 动态配置

firewalld：唯一支持动态更新（如临时规则与永久规则分离）。
iptables/nftables：规则立即生效，但需手动持久化。
ufw：修改后需重启生效。

三、应用场景建议

1. 选择 ufw 的场景

个人服务器或小型项目。
需要快速配置基础规则（如开放 SSH/HTTP）。
用户对防火墙底层不熟悉，希望最小化学习成本。

示例：
Ubuntu 服务器部署 Web 应用，快速开放 80/443 端口：

sudo ufw allow OpenSSH
sudo ufw allow 'Nginx Full'
sudo ufw enable

2. 选择 firewalld 的场景

企业网络环境（如多网卡、不同信任区域）。
需要频繁更新规则且避免服务中断。
使用 RHEL/CentOS 系统，需与其他服务（如 SELinux）深度集成。

示例：
配置 DMZ 区域仅允许 HTTP/HTTPS，并限制管理 IP 访问 SSH：

sudo firewall-cmd --zone=dmz --add-service=http --permanent
sudo firewall-cmd --zone=dmz --add-service=https --permanent
sudo firewall-cmd --zone=public --add-rich-rule='rule family="ipv4" source address="203.0.113.5" service name="ssh" accept' --permanent
sudo firewall-cmd --reload

3. 选择 iptables 的场景

老旧 Linux 系统（如 CentOS 6）。
需要直接操作底层规则（如定制内核模块交互）。
管理员对 iptables 语法非常熟悉。

示例：
配置端口转发和防暴力破解：

# 端口转发
iptables -t nat -A PREROUTING -p tcp --dport 8080 -j DNAT --to-destination 192.168.1.10:80
iptables -A FORWARD -p tcp -d 192.168.1.10 --dport 80 -j ACCEPT

# 限制 SSH 连接频率
iptables -A INPUT -p tcp --dport 22 -m recent --set --name SSH
iptables -A INPUT -p tcp --dport 22 -m recent --update --seconds 60 --hitcount 5 --name SSH -j DROP

以下是 nftables 更详细的应用场景补充，结合其技术特性说明适合的使用环境：

nftables 核心应用场景

1. 企业级复杂网络架构

场景特点

需统一管理 IPv4/IPv6 双栈规则，且规则集庞大（如多VLAN、混合云网络）。

nftables 优势

统一语法：IPv4/IPv6 规则合并编写，避免重复配置。
命名集（Named Sets）：高效管理大规模 IP/端口列表（如黑名单、白名单）。
映射（Maps）：动态匹配流量并执行动作（如根据源 IP 跳转不同链）。

示例：

# 定义 IPv4/IPv6 黑名单集合
nft add set inet filter blacklist { type ipv4_addr; flags interval; }
nft add set inet filter blacklist6 { type ipv6_addr; flags interval; }

# 动态阻断黑名单流量
nft add rule inet filter input ip saddr @blacklist drop
nft add rule inet filter input ip6 saddr @blacklist6 drop

2. 高性能网络需求

场景特点

高并发场景（如 CDN 边缘节点、游戏服务器）需最小化防火墙性能损耗。

nftables 优势

内核级优化：规则执行效率高于 iptables（尤其规则数量超过 1000 条时）。
原子操作：批量更新规则时无流量中断。

示例：
使用 命名集+位掩码 快速匹配端口范围：

nft add set inet filter high_ports { type inet_service; flags interval; }
nft add element inet filter high_ports { 1024-65535 }

nft add rule inet filter input tcp dport @high_ports accept

3. 容器化/云原生环境

场景特点

Kubernetes 节点、Docker 主机需动态管理大量网络策略。

nftables 优势

与 CNI 插件集成：Calico/Cilium 等已支持 nftables 作为后端。
动态更新：无需重启服务即可加载新规则。

示例：
为容器网卡（如 veth*）单独配置策略：

nft add rule inet filter input meta iifname "veth*" tcp dport 80 accept
nft add rule inet filter output meta oifname "veth*" ct state established accept

4. 精细化流量监控与统计

场景特点

需对特定流量（如异常请求）进行计数和日志分析。

nftables 优势

内置计数器：规则匹配时自动统计流量。
JSON 输出：nft -j list ruleset 可对接监控工具（如 Prometheus）。

示例：
记录并统计 SSH 登录尝试：

nft add chain inet filter audit_ssh
nft add rule inet filter input tcp dport 22 jump audit_ssh
nft add rule inet filter audit_ssh counter log prefix "SSH Attempt: " accept

5. 多层 NAT 与复杂路由

场景特点

网络拓扑包含多次地址转换（如双 NAT、负载均衡器后端）。

nftables 优势

链优先级（Priority）：精确控制规则执行顺序。
集成 NAT 功能：无需切换表（如 iptables 的 nat 表）即可配置。

示例：
多级端口转发（外部 8080 → 内部 80 → 容器 8080）：

# 第一跳转发（物理机）
nft add rule nat prerouting tcp dport 8080 dnat to 192.168.1.10:80

# 第二跳转发（内部虚拟机）
nft add rule nat prerouting ip daddr 192.168.1.10 tcp dport 80 dnat to 10.5.0.2:8080

nftables 适用场景总结

场景类型	关键技术需求	nftables 对应能力
大规模网络策略	高性能、低延迟处理海量规则	命名集、映射、内核优化
云原生/容器网络	动态更新、接口匹配	原子操作、网卡通配符（`veth*`）
双栈环境（IPv4/v6）	统一配置语法	协议族（`inet`）自动处理双栈
安全审计与合规	流量日志、连接追踪	内置计数器、日志前缀标记
复杂路由/NAT	多层地址转换、策略路由	链优先级、集成 NAT 语法

迁移建议

从 iptables 迁移：使用 iptables-translate 工具转换旧规则（需人工校验）。
新项目优先选择：未来主流 Linux 发行版将默认支持 nftables（如 RHEL 8+/Ubuntu 22.04+）。