Arturo Borrero, desarrollador de Debian que forma parte del Netfilter Project Coreteam y mantenedor de paquetes relacionados con nftables, iptables y netfilter en Debian, mueva la próxima versión importante de Debian 11 para usar nftables de forma predeterminada. Si se aprueba la propuesta, los paquetes con iptables quedarán relegados a la categoría de opciones opcionales no incluidas en el paquete básico.
El filtro de paquetes Nftables destaca por la unificación de interfaces de filtrado de paquetes para IPv4, IPv6, ARP y puentes de red. Nftables proporciona solo una interfaz genérica independiente del protocolo a nivel del kernel que proporciona funciones básicas para extraer datos de paquetes, realizar operaciones de datos y control de flujo. La lógica de filtrado en sí y los controladores específicos del protocolo se compilan en un código de bytes en el espacio del usuario, después de lo cual este código de bytes se carga en el kernel usando la interfaz Netlink y se ejecuta en una máquina virtual especial que recuerda a BPF (Berkeley Packet Filters).
De forma predeterminada, Debian 11 también ofrece el firewall dinámico firewalld, diseñado como un contenedor sobre nftables. Firewalld se ejecuta como un proceso en segundo plano que le permite cambiar dinámicamente las reglas de filtrado de paquetes a través de DBus sin tener que recargar las reglas de filtrado de paquetes ni interrumpir las conexiones establecidas. Para administrar el firewall, se utiliza la utilidad firewall-cmd, que, al crear reglas, no se basa en direcciones IP, interfaces de red y números de puerto, sino en los nombres de los servicios (por ejemplo, para abrir el acceso a SSH, debe ejecute “firewall-cmd —add —service= ssh”, para cerrar SSH – “firewall-cmd –remove –service=ssh”).
Fuente: opennet.ru