Arturo Borrero, Netfilter Project Coreteam-eko parte den Debian garatzailea eta Debian-en nftables, iptables eta netfilter-ekin lotutako paketeen mantentzailea, mugitu Debian 11ren hurrengo bertsio nagusia lehenespenez nftables erabiltzeko. Proposamena onartzen bada, iptables duten paketeak oinarrizko paketean sartzen ez diren aukerako aukeren kategoriara utziko dira.
Nftables pakete-iragazkia IPv4, IPv6, ARP eta sare-zubietarako paketeak iragazteko interfazeen bateratzeagatik nabarmentzen da. Nftables-ek nukleo mailan interfaze generiko eta protokolo independentea eskaintzen du, paketeetatik datuak ateratzeko, datu-eragiketak egiteko eta fluxua kontrolatzeko oinarrizko funtzioak eskaintzen dituena. Iragazte-logika bera eta protokoloaren berariazko kudeatzaileak bytecode batean konpilatzen dira erabiltzailearen espazioan, eta ondoren bytekode hau nukleoan kargatzen da Netlink interfazea erabiliz eta BPF (Berkeley Packet Filters) gogorarazten duen makina birtual berezi batean exekutatzen da.
Lehenespenez, Debian 11-k suebaki-suebaki dinamikoa ere eskaintzen du, nfttableen gainean bilgarri gisa diseinatua. Firewalld atzeko planoko prozesu gisa exekutatzen da, paketeen iragazkiaren arauak dinamikoki aldatzeko aukera ematen duena DBus bidez paketeen iragazkiaren arauak berriro kargatu edo ezarritako konexioak hautsi gabe. Suebakia kudeatzeko, firewall-cmd utilitatea erabiltzen da, arauak sortzean, ez baita IP helbideetan, sareko interfazeetan eta ataken zenbakietan oinarritzen, baizik eta zerbitzuen izenetan (adibidez, SSHrako sarbidea irekitzeko behar duzu). exekutatu “firewall-cmd —add —service= ssh”, SSH ixteko – “firewall-cmd –remove –service=ssh”).
Iturria: opennet.ru