Arturo Borrero, ein Debian-Entwickler, der Teil des Netfilter Project Coreteams und Betreuer von Paketen im Zusammenhang mit nftables, iptables und netfilter auf Debian ist, Verschieben Sie die nächste Hauptversion von Debian 11 so, dass standardmäßig nftables verwendet wird. Wenn der Vorschlag angenommen wird, werden Pakete mit iptables in die Kategorie der optionalen Optionen verbannt, die nicht im Basispaket enthalten sind.
Der Nftables-Paketfilter zeichnet sich durch die Vereinheitlichung von Paketfilterungsschnittstellen für IPv4, IPv6, ARP und Netzwerkbrücken aus. Nftables bietet lediglich eine generische, protokollunabhängige Schnittstelle auf Kernel-Ebene, die grundlegende Funktionen zum Extrahieren von Daten aus Paketen, zum Durchführen von Datenoperationen und zur Flusskontrolle bereitstellt. Die Filterlogik selbst und protokollspezifische Handler werden im Benutzerbereich in Bytecode kompiliert. Anschließend wird dieser Bytecode über die Netlink-Schnittstelle in den Kernel geladen und in einer speziellen virtuellen Maschine ausgeführt, die an BPF (Berkeley Packet Filters) erinnert.
Standardmäßig bietet Debian 11 auch die dynamische Firewall firewalld, die als Wrapper auf nftables ausgelegt ist. Firewalld wird als Hintergrundprozess ausgeführt, der es Ihnen ermöglicht, Paketfilterregeln dynamisch über DBus zu ändern, ohne die Paketfilterregeln neu laden oder bestehende Verbindungen unterbrechen zu müssen. Zur Verwaltung der Firewall wird das Dienstprogramm firewall-cmd verwendet, das beim Erstellen von Regeln nicht auf IP-Adressen, Netzwerkschnittstellen und Portnummern basiert, sondern auf den Namen von Diensten (um beispielsweise den Zugriff auf SSH zu öffnen, müssen Sie dies tun). Führen Sie „firewall-cmd –add –service= ssh“ aus, um SSH zu schließen – „firewall-cmd –remove –service=ssh“).
Source: opennet.ru