Arturo Borrero, vývojář Debianu, který je součástí Netfilter Project Coreteam a správce balíčků souvisejících s nftables, iptables a netfilter v Debianu, přesunout další hlavní vydání Debianu 11 tak, aby standardně používalo nftables. Pokud bude návrh schválen, balíčky s iptables budou zařazeny do kategorie volitelných možností, které nejsou zahrnuty v základním balíčku.
Paketový filtr Nftables se vyznačuje sjednocením rozhraní pro filtrování paketů pro IPv4, IPv6, ARP a síťové mosty. Nftables poskytuje pouze generické rozhraní nezávislé na protokolu na úrovni jádra, které poskytuje základní funkce pro extrakci dat z paketů, provádění operací s daty a řízení toku. Samotná logika filtrování a obslužné rutiny specifické pro protokol jsou v uživatelském prostoru zkompilovány do bajtkódu, načež je tento bajtkód načten do jádra pomocí rozhraní Netlink a spuštěn ve speciálním virtuálním stroji připomínajícím BPF (Berkeley Packet Filters).
Ve výchozím nastavení Debian 11 také nabízí dynamický firewall firewall, navržený jako obal nad nftables. Firewalld běží jako proces na pozadí, který vám umožňuje dynamicky měnit pravidla paketového filtru přes DBus, aniž byste museli znovu načítat pravidla paketového filtru nebo přerušovat navázaná spojení. Ke správě firewallu se používá obslužný program firewall-cmd, který při vytváření pravidel není založen na IP adresách, síťových rozhraních a číslech portů, ale na názvech služeb (například pro otevření přístupu k SSH je třeba spusťte „firewall-cmd —add —service= ssh“, zavřete SSH – „firewall-cmd –remove –service=ssh“).
Zdroj: opennet.ru