注意:
在给 nftables 防火墙的策略文件添加规则前,要先使用 nftables 防火墙的策略文件:
正文:
案例一:允许某个 IP 地址访问某个端口
ip saddr 192.168.0.1 tcp dport ssh accept或者:
ip saddr 192.168.0.1 tcp dport 22 accept(补充:这里以允许 IP 地址 192.168.0.1 访问 22 端口为例)
案例二:允许某个 IP 地址访问多个端口
ip saddr 192.168.0.1 tcp dport {22,80,443,3306,100,101,102,103} accept或者:
ip saddr 192.168.0.1 tcp dport {22,80,443,3306,100-103} accept(补充:这里以允许 IP 地址 192.168.0.1 访问 22 端口、80 端口、443 端口、3066 端口和 100 端口到 103 端口为例)
案例三:允许多个 IP 地址访问多个端口
ip saddr {192.168.0.1,192.168.0.2,192.168.0.3} tcp dport {22,80,443,3306} accept comment "accept local port"或者:
ip saddr {192.168.0.1-192.168.0.3} tcp dport {22,80,443,3306} accept comment "accept local port"(补充:这里以允许 IP 地址 192.168.0.1、192.168.0.2 和 192.168.0.3 访问 22 端口、80 端口、443 端口和 3066 端口并添加注释 “accept local port” 为例)
案例四:拒绝所有 IP 地址访问多个端口
tcp dport {22,80,443,3306} drop comment "drop remote port"(补充:这里以拒绝所有 IP 地址的 22 端口、80 端口、443 端口和 3306 端口并添加注释 “drop remote port” 为例)
案例五:拒绝所有 IP 地址访问所有端口
tcp dport {0-65535} drop
udp dport {0-65535} drop案例六:允许某个 IP 地址可以通过 ICMP 协议 ping 通
ip saddr 192.168.0.1 ip protocol icmp icmp type echo-request accept(补充:这里以允许 192.168.0.1 可以通过 ICMP 协议 ping 通为例)
案例七:允许由本发出请求后,回应请求的数据可以进入
ct state { established, related } accept