nftables와 iptables의 차이점은 무엇인가요?
거의 모든 Linux 관리자는 Linux 시스템용 방화벽인 iptables를 사용해 왔습니다. 하지만 여러분은 몇 가지 필요한 업그레이드를 제공하고 iptables를 대체할 수 있는 새로운 방화벽인 nftables에 익숙하지 않을 수도 있습니다.
nftables를 사용하는 이유는 무엇인가요?
Nftables는 현재 iptables를 관리하는 Netfilter 조직에서 개발했습니다. Nftables는 iptables의 성능 및 확장성 문제를 해결하도록 설계되었습니다.일부 업그레이드 및 변경된 구문을 제외하면 nftables는 iptables와 거의 동일하게 작동합니다. nftables가 도입된 또 다른 이유는 iptables 프레임워크가 약간 복잡해졌기 때문입니다. iptables, ip6tables, arptables 및 ebtables는 모두 다르지만 비슷한 기능을 가지고 있습니다.
예를 들어, iptables에서 IPv4 규칙을 생성하고 ip6tables에서 IPv6 규칙을 생성하고 두 규칙을 동기화하는 것은 매우 비효율적입니다. Nftables는 이 모든 것을 대체하고 중앙화된 솔루션이 되는 것을 목표로 합니다.
nftables는 2014년부터 Linux 커널에 포함되었지만 최근 채택이 확대되면서 인기가 높아지고 있습니다. Linux 세계에서는 변화가 느리며 오래된 유틸리티를 단계적으로 폐기하고 업그레이드된 유틸리티로 교체하는 데 몇 년 이상이 걸리는 경우가 많습니다.
오늘은 nftables와 iptables의 차이점을 간략하게 소개하고, 새로운 nftables 구문으로 방화벽 규칙을 구성하는 예를 보여드리겠습니다.
nftables의 체인 및 규칙
iptables에는 입력, 출력 및 전달의 세 가지 기본 체인이 있습니다. 이 세 개의 "체인"(및 다른 체인)에는 "규칙"이 포함되어 있으며 iptables는 네트워크 트래픽을 체인의 규칙 목록과 일치시켜 작동합니다. 검사 중인 트래픽이 어떤 규칙과도 일치하지 않는 경우 체인의 기본 정책(예: ACCEPT 또는 DROP)이 트래픽에 적용됩니다.Nftables도 비슷하게 작동하며, "체인"과 "규칙"도 있습니다. 그러나 기본 체인 없이 시작되므로 구성이 더욱 유연해집니다.
iptables의 비효율성 중 한 가지 측면은 트래픽이 어떤 규칙과도 일치하지 않더라도 모든 네트워크 데이터가 위 체인 중 하나 이상을 통과해야 한다는 것입니다. 링크를 구성하지 않더라도 iptables는 계속해서 네트워크 데이터를 검사하고 처리합니다.
Linux에 nftables 설치
nftables는 모든 주요 Linux 배포판에서 사용할 수 있으며 배포판의 패키지 관리자를 사용하여 설치할 수 있습니다.Ubuntu 또는 Debian 기반 시스템에서는 다음 명령을 사용할 수 있습니다.
sudo apt install nftables
sudo systemctl enable nftables.service
구문 iptables와 nftables의 차이점
iptables에 비해 nftables의 구문은 더 간단하지만 iptables의 구문을 nftables에서도 사용할 수 있습니다.iptables 명령을 받아 이를 동등한 nftables 명령으로 변환하는 iptables-translate 도구를 사용할 수 있습니다. 이는 두 구문의 차이점을 쉽게 이해할 수 있는 방법입니다.
다음 명령을 사용하여 Ubuntu 및 Debian 기반 배포판에 iptables-translate를 설치합니다.
sudo apt install iptables-nftables-compat
아래에서 몇 가지 구체적인 문법 예를 살펴보겠습니다.
들어오는 연결 차단
다음 명령은 IP 주소 192.168.2.1에서 들어오는 연결을 차단합니다.$ iptables-translate -A INPUT -s 192.168.2.1 -j DROPnft add rule ip filter INPUT ip saddr 192.168.2.1 counter drop
들어오는 SSH 연결 허용
Ssh를 놔두세요 연결 권한: $ iptables-translate -A INPUT -p tcp --dport 22 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPTnft add rule ip filter INPUT tcp dport 22 ct state new,established counter accept
특정 IP 범위에서 들어오는 SSH 연결 허용
192.168.1.0/24에서 들어오는 SSH 연결만 허용하려는 경우:允许MySQL连接到eth0网络接口 允许传入HTTP和HTTPS流量 为了允许特定类型的流量,以下是这两个命令的语法: 从这些例子中可以看出,nftables 语法与 iptables 非常相似,但命令更直观一些。 nftables 日志 上述nft命令示例中的“counter”选项告诉nftables统计规则被触碰的次数,就像默认情况下使用的iptables一样。 在nftables中,需要指定: nftables内置了用于导出配置的选项。它目前支持XML和JSON。$ iptables-translate -A INPUT -p tcp -s 192.168.1.0/24 --dport 22 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPTnft add rule ip filter INPUT ip saddr 192.168.1.0/24 tcp dport 22 ct state new,established counter accept
$ iptables-translate -A INPUT -i eth0 -p tcp --dport 3306 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPTnft add rule ip filter INPUT iifname eth0 tcp dport 3306ct state new,established counter accept
$ iptables-translate -A INPUT -p tcp -m multiport --dports 80,443 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPTnft add rule ip filter INPUT ip protocol tcp tcp dport { 80,443} ct state new,established counter accept
nft add rule ip filter INPUT ip saddr 192.168.2.1 counter accept
nft export xml
위 내용은 nftables는 iptables와 어떻게 다릅니까?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!
궁극적 인 대결 : Nginx vs. ApacheApr 18, 2025 am 12:02 AMNginx는 높은 동시 요청을 처리하는 데 적합한 반면 Apache는 복잡한 구성 및 기능 확장이 필요한 시나리오에 적합합니다. 1.NGINX는 이벤트 중심의 비 블로킹 아키텍처를 채택하며, 대결 환경에 적합합니다. 2. Apache는 프로세스 또는 스레드 모델을 채택하여 복잡한 구성 요구에 적합한 풍부한 모듈 생태계를 제공합니다.
NGINX의 행동 : 예제 및 실제 응용 프로그램Apr 17, 2025 am 12:18 AMNginx는 웹 사이트 성능, 보안 및 확장 성을 향상시키는 데 사용될 수 있습니다. 1) 리버스 프록시 및로드 밸런서로서 Nginx는 백엔드 서비스를 최적화하고 트래픽을 공유 할 수 있습니다. 2) 이벤트 중심 및 비동기 아키텍처를 통해 Nginx는 높은 동시 연결을 효율적으로 처리합니다. 3) 구성 파일을 사용하면 정적 파일 서비스 및로드 밸런싱과 같은 규칙을 유연하게 정의 할 수 있습니다. 4) 최적화 제안에는 GZIP 압축 활성화, 캐시 사용 및 작업자 프로세스 조정이 포함됩니다.
NGINX 장치 : 다양한 프로그래밍 언어를 지원합니다Apr 16, 2025 am 12:15 AMNginxUnit은 여러 프로그래밍 언어를 지원하며 모듈 식 디자인을 통해 구현됩니다. 1. 언어 모듈로드 : 구성 파일에 따라 해당 모듈을로드합니다. 2. 응용 프로그램 시작 : 호출 언어가 실행될 때 응용 프로그램 코드를 실행합니다. 3. 요청 처리 : 응용 프로그램 인스턴스로 요청을 전달하십시오. 4. 응답 반환 : 처리 된 응답을 클라이언트에 반환합니다.
nginx와 apache 사이의 선택 : 필요에 맞는 적합Apr 15, 2025 am 12:04 AMNginx와 Apache는 고유 한 장점과 단점이 있으며 다른 시나리오에 적합합니다. 1.NGINX는 높은 동시성 및 낮은 자원 소비 시나리오에 적합합니다. 2. Apache는 복잡한 구성 및 풍부한 모듈이 필요한 시나리오에 적합합니다. 핵심 기능, 성능 차이 및 모범 사례를 비교하면 요구에 가장 적합한 서버 소프트웨어를 선택할 수 있습니다.
nginx를 시작하는 방법Apr 14, 2025 pm 01:06 PM질문 : nginx를 시작하는 방법? 답변 : nginx 스타트 업 설치 nginx verification nginx is nginx 시작 다른 시작 옵션을 자동으로 시작합니다.
nginx가 시작되었는지 확인하는 방법Apr 14, 2025 pm 01:03 PMnginx가 시작되었는지 확인하는 방법 : 1. 명령 줄을 사용하십시오 : SystemCTL 상태 nginx (linux/unix), netstat -ano | Findstr 80 (Windows); 2. 포트 80이 열려 있는지 확인하십시오. 3. 시스템 로그에서 nginx 시작 메시지를 확인하십시오. 4. Nagios, Zabbix 및 Icinga와 같은 타사 도구를 사용하십시오.
nginx를 닫는 방법Apr 14, 2025 pm 01:00 PMNginx 서비스를 종료하려면 다음 단계를 따르려면 다음 단계를 결정합니다. Red Hat/Centos (SystemCTL 상태 NGINX) 또는 Debian/Ubuntu (서비스 NGINX 상태) 서비스 중지 : Red Hat/Centos (SystemCTL STOP NGINX) 또는 DEBIAN/UBUNTU (서비스 NGINX STOP) DIA AUTAL STARTUP (옵션) : RED HAT/CENTOS (SystemCTLED) 또는 DEBIAN/UBUNT (SystemCTLED). (Syst
Windows에서 nginx를 구성하는 방법Apr 14, 2025 pm 12:57 PMWindows에서 Nginx를 구성하는 방법은 무엇입니까? nginx를 설치하고 가상 호스트 구성을 만듭니다. 기본 구성 파일을 수정하고 가상 호스트 구성을 포함하십시오. 시작 또는 새로 고침 Nginx. 구성을 테스트하고 웹 사이트를보십시오. SSL을 선택적으로 활성화하고 SSL 인증서를 구성하십시오. 포트 80 및 443 트래픽을 허용하도록 방화벽을 선택적으로 설정하십시오.
핫 AI 도구
Undresser.AI Undress
사실적인 누드 사진을 만들기 위한 AI 기반 앱
AI Clothes Remover
사진에서 옷을 제거하는 온라인 AI 도구입니다.
Undress AI Tool
무료로 이미지를 벗다
Clothoff.io
AI 옷 제거제
AI Hentai Generator
AI Hentai를 무료로 생성하십시오.
인기 기사
뜨거운 도구
스튜디오 13.0.1 보내기
강력한 PHP 통합 개발 환경
WebStorm Mac 버전
유용한 JavaScript 개발 도구
SublimeText3 Mac 버전
신 수준의 코드 편집 소프트웨어(SublimeText3)
DVWA
DVWA(Damn Vulnerable Web App)는 매우 취약한 PHP/MySQL 웹 애플리케이션입니다. 주요 목표는 보안 전문가가 법적 환경에서 자신의 기술과 도구를 테스트하고, 웹 개발자가 웹 응용 프로그램 보안 프로세스를 더 잘 이해할 수 있도록 돕고, 교사/학생이 교실 환경 웹 응용 프로그램에서 가르치고 배울 수 있도록 돕는 것입니다. 보안. DVWA의 목표는 다양한 난이도의 간단하고 간단한 인터페이스를 통해 가장 일반적인 웹 취약점 중 일부를 연습하는 것입니다. 이 소프트웨어는
Dreamweaver Mac版
시각적 웹 개발 도구
