آرتورو بوررو، یک توسعه دهنده دبیان که بخشی از پروژه Netfilter Coreteam و نگهدارنده بسته های مربوط به nftables، iptables و netfilter در دبیان است، نسخه اصلی بعدی Debian 11 را به طور پیش فرض به استفاده از nftables منتقل کنید. در صورت تایید پیشنهاد، بستههای دارای iptable به دسته گزینههای اختیاری که در بسته اصلی گنجانده نشدهاند، تنزل خواهند یافت.
فیلتر بسته Nftables به دلیل یکسان سازی رابط های فیلتر بسته برای IPv4، IPv6، ARP و پل های شبکه قابل توجه است. Nftables تنها یک رابط عمومی و مستقل از پروتکل در سطح هسته ارائه می کند که عملکردهای اساسی را برای استخراج داده ها از بسته ها، انجام عملیات داده و کنترل جریان ارائه می دهد. خود منطق فیلتر و کنترل کننده های پروتکل خاص به بایت کد در فضای کاربر کامپایل می شوند، پس از آن این بایت کد با استفاده از رابط Netlink در هسته بارگذاری می شود و در یک ماشین مجازی ویژه که یادآور BPF (فیلترهای بسته برکلی) است اجرا می شود.
به طور پیشفرض، دبیان 11 فایروال فایروال پویا را نیز ارائه میکند که به عنوان یک پوشش در بالای nftables طراحی شده است. فایروالد بهعنوان یک فرآیند پسزمینه اجرا میشود که به شما امکان میدهد قوانین فیلتر بستهها را بهصورت پویا از طریق DBus تغییر دهید، بدون اینکه نیازی به بارگذاری مجدد قوانین فیلتر بسته یا شکستن اتصالات برقرار شده باشد. برای مدیریت فایروال، از ابزار firewall-cmd استفاده می شود که هنگام ایجاد قوانین، نه بر اساس آدرس های IP، رابط های شبکه و شماره پورت، بلکه بر اساس نام سرویس ها (به عنوان مثال، برای باز کردن دسترسی به SSH باید "Firewall-cmd —add —service= ssh" را اجرا کنید، برای بستن SSH – "firewall-cmd -remove -service=ssh").
منبع: opennet.ru