Debian 11 предлага nftables и firewalld по подразбиране

Артуро Бореро, разработчик на Debian, който е част от Netfilter Project Coreteam и поддържащ пакети, свързани с nftables, iptables и netfilter в Debian, Той предложи преместете следващото основно издание на Debian 11 да използва nftables по подразбиране. Ако предложението бъде одобрено, пакетите с iptables ще бъдат преместени в категорията на опционалните опции, които не са включени в основния пакет.

Пакетният филтър Nftables се отличава с обединяването на интерфейси за филтриране на пакети за IPv4, IPv6, ARP и мрежови мостове. Nftables предоставя само общ, независим от протокола интерфейс на ниво ядро, който предоставя основни функции за извличане на данни от пакети, извършване на операции с данни и контрол на потока. Самата логика на филтриране и специфичните за протокола манипулатори се компилират в байткод в потребителското пространство, след което този байткод се зарежда в ядрото с помощта на интерфейса Netlink и се изпълнява в специална виртуална машина, напомняща на BPF (Berkeley Packet Filters).

По подразбиране Debian 11 предлага и динамичната защитна стена firewalld, проектирана като обвивка върху nftables. Firewalld работи като фонов процес, който ви позволява динамично да променяте правилата за филтриране на пакети чрез DBus, без да се налага да презареждате правилата за филтриране на пакети или да прекъсвате установени връзки. За управление на защитната стена се използва помощната програма firewall-cmd, която при създаване на правила се основава не на IP адреси, мрежови интерфейси и номера на портове, а на имена на услуги (например, за да отворите достъп до SSH, трябва да стартирайте „firewall-cmd —add —service= ssh“, за да затворите SSH – „firewall-cmd –remove –service=ssh“).

Източник: opennet.ru