Arturo Borrero, Netfilter Project Coreteam-in bir hissəsi olan Debian tərtibatçısı və Debian-da nftables, iptables və netfilter ilə əlaqəli paketlərin baxıcısı, Debian 11-in növbəti əsas buraxılışını defolt olaraq nftables istifadə etmək üçün köçürün. Təklif təsdiqlənərsə, iptables ilə paketlər əsas paketə daxil olmayan isteğe bağlı seçimlər kateqoriyasına salınacaq.
Nftables paket filtri IPv4, IPv6, ARP və şəbəkə körpüləri üçün paket filtrləmə interfeyslərinin unifikasiyası ilə diqqət çəkir. Nftables paketlərdən məlumatların çıxarılması, məlumat əməliyyatlarının yerinə yetirilməsi və axına nəzarət üçün əsas funksiyaları təmin edən nüvə səviyyəsində yalnız ümumi, protokoldan asılı olmayan interfeys təqdim edir. Filtrləmə məntiqinin özü və protokola xas işləyicilər istifadəçi məkanında baytkoda yığılır, bundan sonra bu bayt kodu Netlink interfeysindən istifadə etməklə nüvəyə yüklənir və BPF-ni (Berkeley Paket Filtrləri) xatırladan xüsusi virtual maşında icra olunur.
Varsayılan olaraq, Debian 11 həmçinin nftables-in üstünə sarğı kimi hazırlanmış dinamik təhlükəsizlik divarı təklif edir. Firewalld, paket filtri qaydalarını yenidən yükləmədən və ya qurulmuş əlaqələri pozmadan DBus vasitəsilə paket filtri qaydalarını dinamik şəkildə dəyişməyə imkan verən fon prosesi kimi işləyir. Firewall-u idarə etmək üçün qaydalar yaratarkən IP ünvanlarına, şəbəkə interfeyslərinə və port nömrələrinə deyil, xidmətlərin adlarına əsaslanan firewall-cmd yardım proqramı istifadə olunur (məsələn, SSH-ə girişi açmaq üçün sizə lazımdır SSH-ni bağlamaq üçün “firewall-cmd —add —service= ssh”-i işə salın – “firewall-cmd –remove –service=ssh”).
Mənbə: opennet.ru