使用nftables屏蔽国外流量 - 版本历史

2026年2月19日 (四) 16:13 Liam

2026-02-19T16:13:20Z

←上一版本		2026年2月19日 (四) 09:13的版本
第56行：		第56行：
	systemctl restart nftables.service		systemctl restart nftables.service
	</syntaxhighlight>		</syntaxhighlight>
			[[Category:500 常见应用指南 — Application Guides]]

Koud Wind：/* 2. 获取国内IP段 */

2026-02-19T15:01:45Z

2. 获取国内IP段

←上一版本		2026年2月19日 (四) 08:01的版本
第23行：		第23行：

	=== 3. 配置nftables ===		=== 3. 配置nftables ===
	在合适位置的添加或与其它的table进行合并, 这里比如只有访问tcp 46端口的国内IP, 才能放行<syntaxhighlight line="1">		在合适位置添加或与其它的table进行合并, 这里比如只有访问tcp 46端口的国内IP, 才能放行<syntaxhighlight line="1">
	table inet geoip_filter {		table inet geoip_filter {

Koud Wind：/* 2. 获取国内IP段 */

2026-02-19T14:47:26Z

2. 获取国内IP段

←上一版本		2026年2月19日 (四) 07:47的版本
第17行：		第17行：
	unzip master.zip		unzip master.zip
	rm master.zip		rm master.zip
	</syntaxhighlight>执行脚本<syntaxhighlight>		</syntaxhighlight>执行脚本<syntaxhighlight>mv nftables-geoip-master/* ./
	chmod u+x nft_geoip.py		chmod u+x nft_geoip.py
	./nft_geoip.py --file-location location.csv --download		./nft_geoip.py --file-location location.csv --download
	./nft_geoip.py --download -c cn		./nft_geoip.py --download -c cn</syntaxhighlight>
	</syntaxhighlight>

	=== 3. 配置nftables ===		=== 3. 配置nftables ===

Koud Wind：创建页面，内容为“---- === 1. 准备 === 确保 nftables 与 python3 已经安装 nft --version python3 --version 若没有安装, 以Debian13为例apt update apt install nftables python3 unzip systemctl enable nftables拷贝原有的nftables配置, 到一个好找的目录里, 以 `/main/nftables` 为例, 再对原路径进行链接cp /etc/nftables.conf /main/nftables/ ln -f /main…”

2026-02-19T14:42:24Z

创建页面，内容为“---- === 1. 准备 === 确保 nftables 与 python3 已经安装<syntaxhighlight> nft --version python3 --version </syntaxhighlight>若没有安装, 以Debian13为例<syntaxhighlight>apt update apt install nftables python3 unzip systemctl enable nftables</syntaxhighlight>拷贝原有的nftables配置, 到一个好找的目录里, 以 <code>/main/nftables</code> 为例, 再对原路径进行链接<syntaxhighlight>cp /etc/nftables.conf /main/nftables/ ln -f /main…”

新页面

----

=== 1. 准备 ===
确保 nftables 与 python3 已经安装<syntaxhighlight>
nft --version
python3 --version
</syntaxhighlight>若没有安装, 以Debian13为例<syntaxhighlight>apt update
apt install nftables python3 unzip
systemctl enable nftables</syntaxhighlight>拷贝原有的nftables配置, 到一个好找的目录里, 以 <code>/main/nftables</code> 为例, 再对原路径进行链接<syntaxhighlight>cp /etc/nftables.conf /main/nftables/
ln -f /main/nftables/nftables.conf /etc/nftables.conf</syntaxhighlight>并准备好编辑 <code>/main/nftables/nftables.conf</code>

=== 2. 获取国内IP段 ===
先获取并解压项目文件<syntaxhighlight>
mkdir /main/nftables/geoip
cd /main/nftables/geoip
wget https://github.com/pvxe/nftables-geoip/archive/refs/heads/master.zip
unzip master.zip
rm master.zip
</syntaxhighlight>执行脚本<syntaxhighlight>
chmod u+x nft_geoip.py
./nft_geoip.py --file-location location.csv --download
./nft_geoip.py --download -c cn
</syntaxhighlight>

=== 3. 配置nftables ===
在合适位置的添加或与其它的table进行合并, 这里比如只有访问tcp 46端口的国内IP, 才能放行<syntaxhighlight line="1">
table inet geoip_filter {

include "/main/nftables/geoip/geoip-def-all.nft";
include "/main/nftables/geoip/geoip-ipv4-interesting.nft";
include "/main/nftables/geoip/geoip-ipv6-interesting.nft";

chain geoip_mark_input {
type filter hook prerouting priority -10;
policy accept;

meta mark set ip saddr map @geoip4;
meta mark set ip6 saddr map @geoip6;
}

chain input {
type filter hook input priority 0;
policy drop;

# 放行本地/已建立/相关的连接
iif lo accept;
ct state established,related accept;

tcp dport { 46 } meta mark $CN ct state new accept;
}
}
</syntaxhighlight>

=== 4. 完成配置 ===
保存后并重启<syntaxhighlight>
systemctl restart nftables.service
</syntaxhighlight>

使用nftables屏蔽国外流量 - 版本历史

2026年2月19日 (四) 16:13 Liam

Koud Wind：​/* 2. 获取国内IP段 */

Koud Wind：​/* 2. 获取国内IP段 */

Koud Wind：/* 2. 获取国内IP段 */

Koud Wind：/* 2. 获取国内IP段 */