Артуро Борреро (Arturo Borrero), разработчик Debian, входящий в Coreteam проекта Netfilter и сопровождающий в Debian пакеты, связанные с nftables, iptables и netfilter, перевести следующий значительный выпуск дистрибутива Debian 11 на использование nftables по умолчанию. В случае утверждения предложения пакеты с iptables будут переведены в разряд необязательных опций, не входящих в базовую поставку.
Пакетный фильтр Nftables примечателен унификацией интерфейсов фильтрации пакетов для IPv4, IPv6, ARP и сетевых мостов. Nftables предоставляет на уровне ядра лишь общий интерфейс, не зависящий от конкретного протокола и предоставляющий базовые функции извлечения данных из пакетов, выполнения операций с данными и управления потоком. Непосредственно логика фильтрации и специфичные для протоколов обработчики компилируются в байткод в пространстве пользователя, после чего данный байткод загружается в ядро при помощи интерфейса Netlink и выполняется в специальной виртуальной машине, напоминающей BPF (Berkeley Packet Filters).
По умолчанию в Debian 11 также предлагается задействовать динамический межсетевой экран firewalld, оформленный как обвязка поверх nftables. Firewalld запускается в виде фонового процесса, позволяющего динамически изменять правила пакетного фильтра через DBus, без необходимости перезагрузки правил пакетного фильтра и без разрыва установленных соединений. Для управления межсетевым экраном используется утилита firewall-cmd, которая при создании правил отталкивается не от IP-адресов, сетевых интерфейсов и номеров портов, а от названий служб (например, для открытия доступа к SSH нужно выполнить «firewall-cmd —add —service=ssh», для закрытия SSH — «firewall-cmd —remove —service=ssh»).
Источник: opennet.ru