10.3. nftables 框架中的概念

nftables 中的基本链是数据包处理管道中高度可配置的入口点，允许用户指定以下内容：

通过这种灵活性，可以精确控制规则在通过网络堆栈时何时及如何应用到数据包。链的一种特殊情况是 route 链，其用于根据数据包头，影响内核所做的路由决策。

nftables 框架使用一个内部虚拟机来处理规则。此虚拟机执行与汇编语言操作类似的指令（将数据加载到寄存器，执行比较等）。这种机制可以实现高度灵活和有效的规则处理。

nftables 中的增强功能可以作为该虚拟机的新指令引入。这通常需要一个新的内核模块，以及对 libnftnl 库和 nft 命令行工具的更新。

或者，您可以通过将现有指令以一种创新的方式结合来引进新功能，而无需进行内核修改。nftables 规则的语法反映了底层虚拟机的灵活性。例如，如果 TCP 目的地端口为 22，规则 meta mark set tcp dport map { 22: 1, 80: 2 } 将数据包的防火墙标记设置为 1 ，如果端口为 80，则设置为 2。这展示了如何简洁地表达复杂的逻辑。

nftables 框架集成并扩展了 ipset 工具的功能，其在 iptables 中用于对 IP 地址、端口、其他数据类型、最重要的是其中的组合进行批量匹配。此集成使您更容易直接管理 nftables 中的大型和动态的数据集。接下来，nftables 原生支持根据任何数据类型的多个值或范围匹配数据包，这增强了其处理复杂过滤要求的能力。使用 nftables，您可以操作数据包中的任何字段。

在 nftables 中，集合可以是命名的或匿名的。命名的集合可被多个规则引用和动态修改。匿名集合在规则内被内联定义，并且是不可变的。集合可以包含是不同类型组合的元素，如 IP 地址和端口号对。此功能在匹配复杂标准方面提供了更大的灵活性。要管理集合，内核可以根据特定要求（性能、内存效率等）选择最合适的后端。集合也可以作为具有键值对的映射。值部分可用作数据点（写入数据包头的值），或者作为要跳到的判决或链。这可启用复杂和动态的规则行为，称为"判决映射"。

nftables 规则的结构非常简单。条件和操作从左到右顺序应用。这种直观的格式简化了规则创建和故障排除。

规则中的条件在逻辑上连接（使用 AND 运算符）在一起，这意味着要使规则匹配，所有条件都必须被评估为 "true" 。如果有任何条件失败，评估将移到下一个规则。

nftables 中的操作可以是最终的操作，如 drop 或 accept，这停止对数据包的进一步规则处理。非终端操作，如 counter log meta mark set 0x3，执行特定的任务（计算数据包、日志记录、设置标记等），但允许评估后续规则。