Netfilter 是 Linux 内核中的网络包处理框架，负责数据包的处理方式。它通过五个钩子点在数据包收发路径中插入回调函数，允许对数据包进行放行、丢弃或修改。本文探讨了钩子注册、连接跟踪和 NAT 转换的实现细节，以及 nftables 的架构改进，强调性能优化和可观测性的重要性。

通过在 WSL 2 中配置 nftables 和搭建代理服务器，可以将特定 IP 地址的 TCP 流量重定向到其他 IP。使用 Proxifier 强制程序走代理，或通过特定参数设置网络请求走代理。

在服务器上配置基于域名和nftables的策略路由，使用了phantun、wireguard、nftables和chinadns-ng工具。首先设置chinadns-ng的DNS解析，修改/etc/resolv.conf，配置bind-addr和bind-port，以及gfwip和nftables路由策略。

nftables 是 Linux 防火墙的新框架，取代了旧的 iptables，提供更简洁高效的规则管理，支持复杂流量控制和 NAT 功能，易于配置，适合初学者。核心概念包括表、链和规则，常用命令可实现基本操作。

本文介绍了如何利用Fail2Ban和nftables加固服务器安全。Fail2Ban通过正则表达式监控日志，识别并屏蔽恶意IP，主要用于防止暴力登录和系统漏洞扫描。文章详细讲解了配置文件结构、Nginx的4XX错误日志处理、日志过滤规则及自定义动作的实现，并强调使用systemd-journald提高日志处理效率。最终，结合nftables实现了对攻击IP的有效封禁。

nftables自2014年推出，解决了iptables的性能和灵活性问题，提供统一语法，支持多种协议，处理复杂规则更高效。它允许原子规则更新，兼容旧iptables规则，是现代Linux系统的更佳选择。虽然iptables适用于简单设置，但nftables是未来趋势。

本文介绍了作者使用nftables屏蔽恶意IP地址的经历，通过调整规则定义成功实现了IP屏蔽功能。

nftables中的CVE-2022-32250漏洞是由于处理集合时存在uaf漏洞。攻击者可以通过创建特定的set和lookup表达式来触发漏洞。

绿盟科技CERT监测到Linux内核权限提升漏洞(CVE-2024-1086)，存在于netfilter：nf_tables组件中，允许本地攻击者提升权限至root。已有PoC公开，请尽快采取防护措施。受影响版本为15<= Linux kernel <= 6.8-rc1，已知Redhat、Ubuntu、Debia等Linux发行版受影响。官方已升级内核版本修复漏洞，用户可通过官方下载链接更新。如无法更新，可采取其他防护措施。

绿盟科技CERT监测发现Linux Kernel权限提升漏洞(CVE-2023-32233)的PoC，受影响范围为Linux Kernel <= 6.3.1。攻击者可利用该漏洞在内核内存中进行任意读写操作，最终可实现将权限提升至ROOT。官方已发布安全版本修复此漏洞。

背景 传说中的下一代 iptables 的 nftables 已经出来了好长时间了。现在主流发行版的内核也都已经更新到了对 nftables 支持足够好的版本。 在2年多前我也初步体验过了 nftables ，当时写了个 《nftables初体验》 。并且开始使用 nftables 来实现对家里软路由的管理。 而去年的时候，我也尝试用 nftables 实现了双拨（详见:...

把它们三个列在一起，是因为确实有错综复杂的关系。我也想理一理他们在网络方面的前景,比较侧重于 K8s 和 CNI 方面. iptables: kube-proxy最开始基于 iptables 来实现了 service 的负载均衡，只支持随机算法。因为 iptables 本身的局限性，目前提供了 ipvs 模式. nftables: 可以说是 iptables...

背景 我们小区终于有联通线路啦，之前一直用的联通的手机号。它套餐满一定额度以后送一条宽带，本着不用白不用的精神，那必须不能浪费。还好我之前设置软路由得时候就预留了两个网口作wan，所以新增得联通得线路直接插那个口上就行了。（吐槽一下联通给得光猫竟然是8年前生产的老古董）