Arturo Borrero, en Debian-udvikler, der er en del af Netfilter Project Coreteam og vedligeholder af pakker relateret til nftables, iptables og netfilter på Debian, flyt den næste større udgivelse af Debian 11 til at bruge nftables som standard. Hvis forslaget godkendes, vil pakker med iptables blive henvist til kategorien af valgfrie muligheder, der ikke er inkluderet i grundpakken.
Nftables-pakkefilteret er kendt for dets forening af pakkefiltreringsgrænseflader til IPv4, IPv6, ARP og netværksbroer. Nftables giver kun en generisk, protokol-uafhængig grænseflade på kerneniveau, der giver grundlæggende funktioner til at udtrække data fra pakker, udføre dataoperationer og flowkontrol. Selve filtreringslogikken og protokolspecifikke handlere kompileres til bytekode i brugerrummet, hvorefter denne bytekode indlæses i kernen ved hjælp af Netlink-grænsefladen og eksekveres i en speciel virtuel maskine, der minder om BPF (Berkeley Packet Filters).
Som standard tilbyder Debian 11 også den dynamiske firewall-firewalld, designet som en indpakning oven på nftables. Firewalld kører som en baggrundsproces, der giver dig mulighed for dynamisk at ændre pakkefilterregler via DBus uden at skulle genindlæse pakkefilterreglerne eller afbryde etablerede forbindelser. Til at styre firewallen bruges firewall-cmd-værktøjet, som ved oprettelse af regler ikke er baseret på IP-adresser, netværksgrænseflader og portnumre, men på navnene på tjenester (f.eks. for at åbne adgang til SSH skal du kør “firewall-cmd —add —service= ssh”, for at lukke SSH – “firewall-cmd –remove –service=ssh”).
Kilde: opennet.ru