如何通过Nftables Concat特性在Linux上一条规则内快速匹配源IP、目的端口及传输协议?

2026-05-20 13:321阅读0评论SEO教程
  • 内容介绍
  • 文章标签
  • 相关推荐

本文共计564个文字,预计阅读时间需要3分钟。

如何通过Nftables Concat特性在Linux上一条规则内快速匹配源IP、目的端口及传输协议?

直接使用 nftables 的 concat 特性,可以将源 IP、目标 IP 等信息连接起来,形成复合规则。例如,以下规则将源 IP 和目标 IP 进行拼接:

构造支持三字段拼接的映射表

先建一个类型为 ipv4_addr . inet_service . inet_protocol 的映射,注意字段顺序和类型必须严格对应:

  • ipv4_addr 对应 ip saddr(4 字节)
  • inet_service 对应 tcp dportudp dport(2 字节)
  • inet_protocol 对应 ip protocol(1 字节),值为 6(TCP)或 17(UDP)

执行命令创建映射:

nft add map inet filter ipportproto_map { type ipv4_addr . inet_service . inet_protocol : verdict; }

插入带协议区分的复合规则

同一个端口(比如 8080)对 TCP 和 UDP 可以定义不同动作。例如只允许 TCP 8080,拒绝 UDP 8080:

  • 192.168.10.5 . 8080 . 6 : accept(TCP)
  • 192.168.10.5 . 8080 . 17 : drop(UDP)

一次性写入:

nft add element inet filter ipportproto_map { 192.168.10.5 . 8080 . 6 : accept, 192.168.10.5 . 8080 . 17 : drop }

在链中调用 concat 规则

在 input 链里添加一条规则,用 @ 引用映射,并按相同顺序拼接字段:

nft add rule inet filter input @ipportproto_map { ip saddr . tcp dport . ip protocol } counter

⚠️ 注意:这里 tcp dport 是协议敏感写法;若需同时覆盖 TCP/UDP,得改用通用字段 th dport 并确保映射中协议值一致,否则会不命中。

验证与排错要点

拼接类规则容易静默失效,建议三步确认:

  • nft list map inet filter ipportproto_map -n 查看实际插入的数值(如 0xc0a80a05 . 0x0318 . 0x06),避免字符串解析歧义
  • counter 后运行 nft monitor trace,观察是否真正查到了映射路径,而非 fallback 到下一条规则
  • 确认所有字段总长 ≤ 256 字节(本例仅 7 字节,安全)
标签:Linux端口

相关推荐

186742如何有效应对并处理企业网络中出现的负面舆情信息?186743北京SEO顾问课程,如何助我制定更精准的SEO优化策略?186745一站式家居创意平台,装修设计图库网站有哪些深度探索与大全可以推荐?186759如何通过SEO优化技巧有效提升网站排名,吸引更多流量,增强市场竞争力?186773维欣科技专业网站建设深度解析与探索LS15227有哪些关键点?186777如何通过多维度优化秘籍提升网站长尾关键词排名?186781分布式缓存如何实现与数据库在强一致场景下的缓存方案?186784如何通过网站SEO监控成为提升网站排名的秘密武器?186791如何通过SEO策略应对网站排名波动,实现稳定提升?186793网页设计基础与布局案例解析,有哪些六大经典布局值得深度探讨?186798如何通过SEM百度竞价实现精准客户定位,提升转化率?186806C产品在市场上有哪些独特优势?186819如何通过掌握收录技巧和提升策略,实现并维持百度SEO排名的稳定?186827C产品在市场上有哪些独特优势?186828请问能详细介绍一下这三种C的特点吗?186830如何通过5招百度SEO优化技巧和6步实操指南提升网站排名?

本文共计564个文字,预计阅读时间需要3分钟。

如何通过Nftables Concat特性在Linux上一条规则内快速匹配源IP、目的端口及传输协议?

直接使用 nftables 的 concat 特性,可以将源 IP、目标 IP 等信息连接起来,形成复合规则。例如,以下规则将源 IP 和目标 IP 进行拼接:

构造支持三字段拼接的映射表

先建一个类型为 ipv4_addr . inet_service . inet_protocol 的映射,注意字段顺序和类型必须严格对应:

  • ipv4_addr 对应 ip saddr(4 字节)
  • inet_service 对应 tcp dportudp dport(2 字节)
  • inet_protocol 对应 ip protocol(1 字节),值为 6(TCP)或 17(UDP)

执行命令创建映射:

nft add map inet filter ipportproto_map { type ipv4_addr . inet_service . inet_protocol : verdict; }

插入带协议区分的复合规则

同一个端口(比如 8080)对 TCP 和 UDP 可以定义不同动作。例如只允许 TCP 8080,拒绝 UDP 8080:

  • 192.168.10.5 . 8080 . 6 : accept(TCP)
  • 192.168.10.5 . 8080 . 17 : drop(UDP)

一次性写入:

nft add element inet filter ipportproto_map { 192.168.10.5 . 8080 . 6 : accept, 192.168.10.5 . 8080 . 17 : drop }

在链中调用 concat 规则

在 input 链里添加一条规则,用 @ 引用映射,并按相同顺序拼接字段:

nft add rule inet filter input @ipportproto_map { ip saddr . tcp dport . ip protocol } counter

⚠️ 注意:这里 tcp dport 是协议敏感写法;若需同时覆盖 TCP/UDP,得改用通用字段 th dport 并确保映射中协议值一致,否则会不命中。

验证与排错要点

拼接类规则容易静默失效,建议三步确认:

  • nft list map inet filter ipportproto_map -n 查看实际插入的数值(如 0xc0a80a05 . 0x0318 . 0x06),避免字符串解析歧义
  • counter 后运行 nft monitor trace,观察是否真正查到了映射路径,而非 fallback 到下一条规则
  • 确认所有字段总长 ≤ 256 字节(本例仅 7 字节,安全)
标签:Linux端口