Arturo Borrero, Debiani arendaja, projekti Netfilter Coreteami liige ning nftables, iptables ja netfilteriga seotud pakettide hooldaja Debianis, teisaldada Debian 11 distributsiooni järgmine suurem väljalase, et vaikimisi kasutada nftables. Kui ettepanek kiidetakse heaks, teisaldatakse iptablesiga paketid valikuliste valikute kategooriasse, mida baasjaotus ei sisalda.
Nftablesi paketifilter on tähelepanuväärne IPv4, IPv6, ARP ja võrgusildade pakettide filtreerimise liideste ühendamise poolest. Nftables pakub kerneli tasemel ainult üldist, protokollist sõltumatut liidest, mis pakub põhifunktsioone pakettidest andmete eraldamiseks, andmetega toimingute tegemiseks ja voo juhtimiseks. Filtreerimisloogika ise ja protokollispetsiifilised töötlejad kompileeritakse kasutajaruumi baitkoodiks, misjärel laaditakse see baitkood Netlinki liidese abil kernelisse ja käivitatakse spetsiaalses BPF-i (Berkeley Packet Filters) meenutavas virtuaalmasinas.
Vaikimisi soovitatakse Debian 11-s kasutada ka dünaamilise tulemüüri tulemüüri, mis on loodud ümbrisena nftables-i peal. Firewalld töötab taustaprotsessina, võimaldades pakettfiltri reegleid dünaamiliselt muuta DBusi kaudu, ilma et oleks vaja pakettfiltri reegleid uuesti laadida ja loodud ühendusi katkestamata. Tulemüüri haldamiseks kasutatakse utiliiti firewall-cmd, mis reeglite loomisel ei põhine mitte IP-aadressidel, võrguliidestel ja pordinumbritel, vaid teenuste nimedel (näiteks SSH-le juurdepääsu avamiseks on vaja käivitada "firewall-cmd -add -service = ssh", sulgeda SSH - "firewall-cmd --remove --service=ssh").
Allikas: opennet.ru