Артура Барэра (Arturo Borrero), распрацоўшчык Debian, які ўваходзіць у Coreteam праекта Netfilter і суправаджае ў Debian пакеты, звязаныя з nftables, iptables і netfilter, перавесці наступны значны выпуск дыстрыбутыва Debian 11 на выкарыстанне nftables па змаўчанні. У выпадку зацвярджэння прапановы пакеты з iptables будуць пераведзены ў разрад неабавязковых опцый, якія не ўваходзяць у базавую пастаўку.
Пакетны фільтр Nftables адметны ўніфікацыяй інтэрфейсаў фільтрацыі пакетаў для IPv4, IPv6, ARP і сеткавых мастоў. Nftables падае на ўзроўні ядра толькі агульны інтэрфейс, не які залежыць ад пэўнага пратаколу і які прадстаўляе базавыя функцыі вымання дадзеных з пакетаў, выкананні аперацый з дадзенымі і кіраванні струменем. Непасрэдна логіка фільтрацыі і спецыфічныя для пратаколаў апрацоўшчыкі кампілююцца ў байткод у прасторы карыстача, пасля чаго дадзены байткод загружаецца ў ядро пры дапамозе інтэрфейсу Netlink і выконваецца ў адмысловай віртуальнай машыне, якая нагадвае BPF (Berkeley Packet Filters).
Па змаўчанні ў Debian 11 таксама прапануецца задзейнічаць дынамічны міжсеткавы экран firewalld, аформлены як абвязка па-над nftables. Firewalld запускаецца ў выглядзе фонавага працэсу, які дазваляе дынамічна змяняць правілы пакетнага фільтра праз DBus, без неабходнасці перазагрузкі правіл пакетнага фільтра і без парыву ўсталяваных злучэнняў. Для кіравання міжсеткавым экранам выкарыстоўваецца ўтыліта firewall-cmd, якая пры стварэнні правіл адштурхваецца не ад IP-адрасоў, сеткавых інтэрфейсаў і нумароў портаў, а ад назоваў службаў (напрыклад, для адкрыцця доступу да SSH трэба выканаць «firewall-cmd -add -service= ssh», для зачынення SSH - "firewall-cmd -remove -service = ssh").
Крыніца: opennet.ru