nftables是用于替换iptables的数据包过滤框架，目前已在Centos、Debian等最新Linux系统发行版作为生产工具提供。相比较iptables，nftables优势更明显、支持对动态IP进行转发、端口段转发、自动检测本机IP等，以配置文件保存转发规则、对其设置更轻松。

前言：适用于centos8、redhat8、fedora31和支持nftables的debian系linux发行版如debian10，项目地址：

1、一般情况下，Linux最新发行版会默认安装nftables，使用以下命令关闭firewalld、关闭selinux、开启内核端口转发、安装nftables；

service firewalld stopsystemctl disable firewalldsetenforce 0sed -i 's/SELINUX=enforcing/SELINUX=disabled/' /etc/selinux/config  sed -n '/^net.ipv4.ip_forward=1/'p /etc/sysctl.conf | grep -q "net.ipv4.ip_forward=1"echo 1 > /proc/sys/net/ipv4/ip_forwardif [ $? -ne 0 ]; then    echo -e "net.ipv4.ip_forward=1" >> /etc/sysctl.conf && sysctl -pfiyum install -y  nftables

2、下载可执行文件并赋予执行权限；

wget -O /usr/local/bin/nat  +x /usr/local/bin/nat

3、创建systemd服务；

cat > /lib/systemd/system/nat.service <<EOF

[Unit]

Description=dnat-service

After=network-online.target

Wants=network-online.target

[Service]

ExecStart=/usr/local/bin/nat /etc/nat.conf

LimitNOFILE=100000

Restart=always

RestartSec=60

[Install]

WantedBy=multi-user.target

EOF

4、设置为开机启动，并启动该服务；

systemctl daemon-reloadsystemctl enable natsystemctl start nat

5、生成配置文件，也可以使用 vi /etc/nat.conf 命令添加删除修改转发规则；

cat > /etc/nat.conf <<EOFSINGLE,22222,6666,zhujiget.comRANGE,10000,20000,zhujiget.comEOF

注释：

每行代表1个规则，行内以英文逗号分隔为4段内容SINGLE：代表单端口转发：本机22222端口转发到远程zhujiget.com域名或IP的6666端口SINGLE：代表端口段转发：本机10000-20000转发到远程zhujiget.com域名或IP的10000-20000端口

6、停止以及卸载命令

## 停止定时监听域名解析地任务service nat stop ## 清空nat规则nft add table ip natnft delete table ip nat ## 禁止开机启动systemctl disable nat