Nftables

介绍：通过爬取近一周的动弹数据，分析动弹数、评论数以及点赞数，评定出近一周的水笔榜，最水的那个靓仔将会获得【动弹龙王】称号，为期一周 作者：wjcIvan 脚本：https://gitee.com/wjcIvan/OSCTweetsSpider 备注：机器人及被本人屏蔽的选手不参与水笔榜，水笔榜最终解释权归本人所有 以下所有排名均分先后 水笔榜 发动弹是水笔获取经验的最直接方式，所以该比重为0.5，由于osc的防刷屏机制，所以该统计不完全准确，实际动弹数可能会多于统计数量 动弹水笔 Top 100 水笔 @首席语录搬运工 , 水笔 @巴拉迪维 , 水笔 @RYAN_____ , 水笔 @FalconChen , 水笔 @划水找对象 , 水笔@开源中国首席发型师, 水笔@枯藤老骨, 水笔@Daniel-01, 水笔@金拱门, 水笔@大喝向东游, 水笔@码上行动aa, 水笔@Open不Open, 水笔@米老李, 水笔@Practices, 水笔@罗马的王, 水笔@高总, 水笔@挨踢得要死要死的某瓜, 水笔@fineDD, 水笔@开源中国马桶盖, 水笔@道羽, 水笔@Vendettad, 水笔@开源中国首席颈椎砖家, 水笔@源码分析55, 水笔@O马大帝, 水笔@狄工, 水笔@小电灯, 水笔@碧海潮生曲终人不散, 水笔@开源中国首席罗纳尔多, 水笔@DBKangaroo, 水笔

UCloud外网网关是为了承载外网IP、负载均衡等产品的外网出入向流量，当前基于Linux内核的OVS/GRE tunnel/netns/iptables等实现，很好地支撑了现有业务。同时，我们也在不断跟踪开源社区的新技术发展，并将之用于下一代外网网关的设计。这些新特性可将系统性能和管理能力再提上一档，满足未来几年的需求。在方案设计研发过程中发现，新特性存在不少缺陷和Bug，为此我们向开源社区回馈了10多个patch，并融入到kernel 5.0版本中，帮助完善kernel功能并提升稳定性。 当前业界的多租户外网网关很多都是基于OpenFlow的OpenvSwitch（OVS）方案，然而随着内核路由转发功能的不断完善，利用内核原生路由转发方式进行设计多租户外网网关系统成为一种可能。在这种方式下能有效的使用传统iproute2路由工具以及iptables、nftables等Firewall工具，并且随着SwitchDev技术的兴起，未来将网关系统迁移到Linux Switch上也成为一种可能。 现有kernel 3.x的不足 当前广泛使用的内核版本为3.x系列，例如CentOS 7全系列标准支持的内核为3.10版本，Fedora/Ubuntu等Linux发行版也有大量使用。在3.x系列内核下存在着IP tunnel管理复杂、租户隔离性能损耗等问题。 1. IP tunnel管理复杂

3 月，跳不动了？>>> 景观石密度大家【薇/扣:31843 2 I 68】介绍了 nftables 的优点以及基本的使用方法，它的优点在于直接在用户态把网络规则编译成字节码，然后由内核的虚拟机执行，尽管和 iptables 一样都是基于 netfilter，但 nftables 的灵活性更高。 之前用 iptables 匹配大量数据时，还得需要 ipset 配合，而 nftables 直接内置了集合和字典，可以直接匹配大量的数据，这一点比 iptables 方便多了，拿来练练魔法真是极好的，不多解释，请直接看 Linux全局智能分流方案。 本文将会教你如何配置 nftables 来为服务器实现一个简单的防火墙，本文以 CentOS 7 为例，其他发行版类似。 来源： oschina 链接： https://my.oschina.net/u/4490304/blog/3211755

3 月，跳不动了？>>> 转载请注明文章出处： CentOS 8同步时间 CentOS 8系统做了不少更新，例如 nftables代替iptables 、dnf代替yum成为默认包管理工具。这不，许多人发现CentOS 7熟悉的 ntpdate 命令没有了，也不能用yum安装上，同步时间顿时成了一个难题。 本文介绍CentOS 8使用chrony同步时间。 chrony介绍 Chrony是一个开源软件，能用来于时钟服务器（NTP）同步，从而保持系统时间精确。chrony由两部分组成：后台运行的 chronyd ，前端使用的 chronyc 。 chronyd 用于调整内核中系统时钟和时钟服务器同步，它确定计算机增减时间的比率，并对此进行补偿； chronyc 提供查询和配置接口，可以在chronyd实例控制的计算机上工作，也可以在一台不同的远程计算机上工作。 chrony同步时间 首先安装crhony： dnf install -y chrony # 也可以用yum安装 yum install -y chrony chrony配置文件是 /etc/chrony.conf ，其内容大体如下： 一般来说，配置文件无需改动就能正常使用。当然为了同步速度快，可以使用国内的ntp服务器，例如将第一行改成： pool ntp.ntsc.ac.cn iburst （公共ntp服务器请参考： 公共

防火墙 一、iptables 基于数据链路层的防火墙服务，将配置好的防火墙策略交由内核层面的netfilter网络过滤器来处理。 防火墙策略一般设置两种：一种是放行，一种是阻止 。 iptables规则链根据数据包处理位置的不同进行分类： 在进行路由选择前处理数据包（ PREROUTING ） 处理流入的数据包（ INPUT ） 处理流出的数据包（ OUTPUT ） 处理转发的数据包（ FORWARD ） 在进行路由选择后处理数据包（ POSTROUTING ） 对于命中的数据流量，iptables服务有四种操作： ACCEPT——允许流量通过 REJECT——有respond的拒绝流量通过 LOG——记录日志信息 DROP—— 无respond的拒绝流量通过 iptables中常用的参数及作用 参数 作用 -P 设置默认策略 -F 清空规则链 -L 查看规则链 -A 在规则链尾部加入新规则 -I 在规则链头部加入新规则 -D 删除某条规则 -s 匹配来源地址IP/MASK，加“!”表示除这个IP外 -d 匹配目标地址 -i 网卡名称 匹配从该网卡流入的数据包 -o 网卡名称 匹配从该网卡流出的数据包 -p 匹配协议 -j 执行动作 匹配规则后，执行处理数据包的动作 --dport 匹配目的端口号 --sport 匹配源端口号 tips：规则链的默认拒绝动作只能是DROP

> 原文链接： CentOS 8 都发布了，你还不会用 nftables？ 如果你没有生活在上个世纪，并且是云计算或相关领域的一名搬砖者，那你应该听说最近 CentOS 8 官方正式版已经发布了， CentOS 完全遵守 Red Hat 的再发行政策，并且致力与上游产品在功能上完全兼容。CentOS 8 主要改动和 RedHat Enterprise Linux 8 是一致的，基于 Fedora 28 和内核版本 4.18 ，其中网络方面的主要改动是**用 nftables 框架替代 iptables 框架作为默认的网络包过滤工具。**如果你还没有听说过 nftables，现在是时候学习一下了。 nftables 是一个 netfilter 项目，旨在替换现有的 {ip,ip6,arp,eb}tables 框架，为 {ip,ip6}tables 提供一个新的包过滤框架、一个新的用户空间实用程序（nft）和一个兼容层。它使用现有的钩子、链接跟踪系统、用户空间排队组件和 netfilter 日志子系统。 nftables 主要由三个组件组成：内核实现、libnl netlink 通信和 nftables 用户空间。 其中内核提供了一个 netlink 配置接口以及运行时规则集评估， libnl 包含了与内核通信的基本函数，用户空间可以通过 nft 和用户进行交互。