Arturo Borrero, un desenvolupador de Debian que forma part del Netfilter Project Coreteam i mantenidor de paquets relacionats amb nftables, iptables i netfilter a Debian, moveu la següent versió principal de Debian 11 per utilitzar nftables per defecte. Si s'aprova la proposta, els paquets amb iptables quedaran relegats a la categoria d'opcions opcionals no incloses al paquet bàsic.
El filtre de paquets Nftables destaca per la seva unificació d'interfícies de filtratge de paquets per a IPv4, IPv6, ARP i ponts de xarxa. Nftables només proporciona una interfície genèrica i independent del protocol a nivell del nucli que proporciona funcions bàsiques per extreure dades de paquets, realitzar operacions de dades i control de flux. La pròpia lògica de filtratge i els controladors específics del protocol es compilen en bytecode a l'espai de l'usuari, després del qual aquest bytecode es carrega al nucli mitjançant la interfície Netlink i s'executa en una màquina virtual especial que recorda BPF (Berkeley Packet Filters).
Per defecte, Debian 11 també ofereix el tallafocs dinàmic, dissenyat com un embolcall a la part superior de nftables. Firewalld s'executa com un procés en segon pla que us permet canviar dinàmicament les regles del filtre de paquets mitjançant DBus sense haver de tornar a carregar les regles del filtre de paquets o trencar les connexions establertes. Per gestionar el tallafoc, s'utilitza la utilitat firewall-cmd, que, en crear regles, no es basa en adreces IP, interfícies de xarxa i números de port, sinó en els noms dels serveis (per exemple, per obrir l'accés a SSH cal executeu “firewall-cmd —add —service= ssh”, per tancar SSH – “firewall-cmd –remove –service=ssh”).
Font: opennet.ru