Arturo Borrero, Debian-ontwikkelaar, lid van die Coreteam van die Netfilter-projek en onderhouer van nftables, iptables en netfilter-verwante pakkette in Debian, skuif die volgende groot weergawe van die Debian 11-verspreiding om nftables by verstek te gebruik. As die voorstel goedgekeur word, sal pakkette met iptables geskuif word na die kategorie van opsionele opsies wat nie by die basisverspreiding ingesluit is nie.
Die Nftables-pakkiefilter is opvallend vir die verenigende pakketfiltrering-koppelvlakke vir IPv4, IPv6, ARP en netwerkbrûe. Nftables bied slegs 'n generiese, protokol-onafhanklike koppelvlak op kernvlak wat basiese funksies verskaf om data uit pakkies te onttrek, bewerkings op data uit te voer en vloei te beheer. Die filterlogika self en protokol-spesifieke hanteerders word saamgestel in gebruikersruimte-greepkode, waarna hierdie greepkode in die kern gelaai word met die Netlink-koppelvlak en uitgevoer word in 'n spesiale virtuele masjien wat soos BPF (Berkeley Packet Filters) lyk.
By verstek word in Debian 11 ook voorgestel om die dinamiese firewalld firewall te gebruik, ontwerp as 'n omhulsel bo-op nftables. Firewalld loop as 'n agtergrondproses waardeur pakkiefilterreëls dinamies via DBus verander kan word sonder om pakkiefilterreëls te herlaai en sonder om gevestigde verbindings te laat val. Om die firewall te bestuur, word die firewall-cmd-hulpprogram gebruik, wat, wanneer reëls geskep word, nie gebaseer is op IP-adresse, netwerkkoppelvlakke en poortnommers nie, maar op die name van dienste (byvoorbeeld, om toegang tot SSH oop te maak, benodig jy om "firewall-cmd -add -service = ssh" uit te voer, om SSH te sluit - "firewall-cmd --remove --service=ssh").
Bron: opennet.ru