Arturo Borrero, Debian-programisto kiu estas parto de la Netfilter Project Coreteam kaj prizorganto de pakaĵoj rilataj al nftables, iptables kaj netfilter sur Debian, movu la sekvan gravan eldonon de Debian 11 por uzi nftables defaŭlte. Se la propono estas aprobita, pakoj kun iptables estos forigitaj al la kategorio de laŭvolaj opcioj ne inkluzivitaj en la baza pako.
La pakaĵetfiltrilo Nftables estas rimarkinda pro sia unuigo de pakaĵetaj filtraj interfacoj por IPv4, IPv6, ARP kaj retaj pontoj. Nftables disponigas nur senmarkan, protokol-sendependan interfacon sur la kernnivelo kiu disponigas bazajn funkciojn por ĉerpi datenojn de pakaĵetoj, elfarante datumoperaciojn, kaj flukontrolon. La filtra logiko mem kaj protokol-specifaj pritraktiloj estas kompilitaj en bajtokodon en uzantspaco, post kiu tiu bajtokodo estas ŝarĝita en la kernon uzante la Netlink-interfacon kaj efektivigita en speciala virtuala maŝino rememoriga pri BPF (Berkeley Packet Filters).
Defaŭlte, Debian 11 ankaŭ ofertas la dinamikan fajroŝirmilon, desegnitan kiel envolvaĵo aldone al nftables. Firewalld funkcias kiel fona procezo, kiu ebligas al vi dinamike ŝanĝi pakatajn filtrilregulojn per DBus sen devi reŝargi la pakaĵetfiltrilregulojn aŭ rompi establitajn ligojn. Por administri la fajroŝirmilon, oni uzas la fajroŝirmilon-cmd, kiu, kiam oni kreas regulojn, baziĝas ne sur IP-adresoj, retaj interfacoj kaj havenaj nombroj, sed sur la nomoj de servoj (ekzemple, por malfermi aliron al SSH, oni devas rulu “firewall-cmd —add —service= ssh”, por fermi SSH – “firewall-cmd –remove –service=ssh”).
fonto: opennet.ru