Ο Arturo Borrero, προγραμματιστής του Debian που είναι μέρος του Netfilter Project Coreteam και συντηρητής πακέτων που σχετίζονται με nftables, iptables και netfilter στο Debian, μετακινήστε την επόμενη σημαντική έκδοση του Debian 11 για να χρησιμοποιήσετε nftables από προεπιλογή. Εάν η πρόταση εγκριθεί, τα πακέτα με iptables θα υποβιβαστούν στην κατηγορία των προαιρετικών επιλογών που δεν περιλαμβάνονται στο βασικό πακέτο.
Το φίλτρο πακέτων Nftables είναι αξιοσημείωτο για την ενοποίηση διεπαφών φιλτραρίσματος πακέτων για IPv4, IPv6, ARP και γέφυρες δικτύου. Το Nftables παρέχει μόνο μια γενική, ανεξάρτητη από πρωτόκολλο διεπαφή σε επίπεδο πυρήνα που παρέχει βασικές λειτουργίες για την εξαγωγή δεδομένων από πακέτα, την εκτέλεση λειτουργιών δεδομένων και τον έλεγχο ροής. Η ίδια η λογική του φιλτραρίσματος και οι ειδικοί χειριστές του πρωτοκόλλου μεταγλωττίζονται σε bytecode στον χώρο χρήστη, μετά τον οποίο αυτός ο bytecode φορτώνεται στον πυρήνα χρησιμοποιώντας τη διεπαφή Netlink και εκτελείται σε μια ειδική εικονική μηχανή που θυμίζει BPF (Berkeley Packet Filters).
Από προεπιλογή, το Debian 11 προσφέρει επίσης το τείχος προστασίας δυναμικού τείχους προστασίας, σχεδιασμένο ως περιτύλιγμα πάνω από τα nftables. Το Firewalld εκτελείται ως διαδικασία παρασκηνίου που σας επιτρέπει να αλλάζετε δυναμικά τους κανόνες φίλτρου πακέτων μέσω DBus χωρίς να χρειάζεται να φορτώσετε ξανά τους κανόνες φίλτρου πακέτων ή να διακόψετε τις καθιερωμένες συνδέσεις. Για τη διαχείριση του τείχους προστασίας, χρησιμοποιείται το βοηθητικό πρόγραμμα firewall-cmd, το οποίο, κατά τη δημιουργία κανόνων, δεν βασίζεται σε διευθύνσεις IP, διεπαφές δικτύου και αριθμούς θυρών, αλλά σε ονόματα υπηρεσιών (για παράδειγμα, για να ανοίξετε την πρόσβαση στο SSH πρέπει να τρέξτε το “firewall-cmd —add —service= ssh”, για να κλείσετε το SSH – “firewall-cmd –remove –service=ssh”).
Πηγή: opennet.ru