Arturo Borrero, Debian programer koji je dio Netfilter projekta Coreteam i održava pakete koji se odnose na nftables, iptables i netfilter na Debianu, pomaknite sljedeće veliko izdanje Debiana 11 na korištenje nftables prema zadanim postavkama. Ako prijedlog bude odobren, paketi sa iptables će biti prebačeni u kategoriju opcionih opcija koje nisu uključene u osnovni paket.
Filter paketa Nftables je poznat po objedinjavanju interfejsa za filtriranje paketa za IPv4, IPv6, ARP i mrežne mostove. Nftables obezbeđuje samo generički interfejs nezavisan od protokola na nivou kernela koji obezbeđuje osnovne funkcije za izdvajanje podataka iz paketa, izvođenje operacija sa podacima i kontrolu toka. Sama logika filtriranja i rukovaoci specifični za protokol se kompajliraju u bajtkod u korisničkom prostoru, nakon čega se ovaj bajt kod učitava u kernel pomoću Netlink interfejsa i izvršava u posebnoj virtuelnoj mašini koja podseća na BPF (Berkeley Packet Filters).
Po defaultu, Debian 11 također nudi dinamički firewall firewall, dizajniran kao omotač na vrhu nftablea. Firewalld radi kao pozadinski proces koji vam omogućava da dinamički mijenjate pravila filtera paketa putem DBus-a bez ponovnog učitavanja pravila filtera paketa ili prekidanja uspostavljenih veza. Za upravljanje firewall-om koristi se uslužni program firewall-cmd, koji se prilikom kreiranja pravila ne zasniva na IP adresama, mrežnim sučeljima i brojevima portova, već na nazivima usluga (na primjer, da biste otvorili pristup SSH-u, potrebno je pokrenite “firewall-cmd —add —service= ssh”, da zatvorite SSH – “firewall-cmd –remove –service=ssh”).
izvor: opennet.ru