أرتورو بوريرو، مطور دبيان، عضو الفريق الأساسي لمشروع Netfilter ومشرف الحزم ذات الصلة بـ nftables وiptables وnetfilter في دبيان، انقل الإصدار الرئيسي التالي من توزيعة Debian 11 لاستخدام nftables افتراضيًا. إذا تمت الموافقة على الاقتراح، فسيتم نقل الحزم التي تحتوي على iptables إلى فئة الخيارات الاختيارية التي لم يتم تضمينها في التوزيع الأساسي.
يتميز مرشح حزم Nftables بتوحيد واجهات تصفية الحزم لـ IPv4 وIPv6 وARP وجسور الشبكة. توفر Nftables فقط واجهة عامة مستقلة عن البروتوكول على مستوى kernel توفر وظائف أساسية لاستخراج البيانات من الحزم وتنفيذ العمليات على البيانات والتحكم في التدفق. يتم تجميع منطق التصفية نفسه والمعالجات الخاصة بالبروتوكول في كود بايت لمساحة المستخدم، وبعد ذلك يتم تحميل هذا الكود الثانوي في النواة باستخدام واجهة Netlink وتنفيذه في جهاز ظاهري خاص يشبه BPF (مرشحات حزم بيركلي).
افتراضيًا، يُقترح أيضًا في Debian 11 استخدام جدار الحماية الديناميكي، المصمم كغلاف أعلى nftables. يعمل جدار الحماية كعملية خلفية تسمح بتغيير قواعد تصفية الحزم ديناميكيًا عبر DBus دون الحاجة إلى إعادة تحميل قواعد تصفية الحزم ودون إسقاط الاتصالات القائمة. لإدارة جدار الحماية، يتم استخدام الأداة المساعدة لجدار الحماية cmd، والتي، عند إنشاء القواعد، لا تعتمد على عناوين IP وواجهات الشبكة وأرقام المنافذ، ولكن على أسماء الخدمات (على سبيل المثال، لفتح الوصول إلى SSH، تحتاج لتنفيذ "firewall-cmd -add -service = ssh"، لإغلاق SSH - "firewall-cmd --remove --service=ssh").
المصدر: opennet.ru