Arturo Borrero, Debian-kehittäjä, joka on osa Netfilter Project Coreteamia ja ylläpitää nftables-, iptables- ja netfilter-paketteja Debianissa, siirrä seuraava Debian 11:n suuri julkaisu käyttämään nftablesia oletuksena. Jos ehdotus hyväksytään, iptables-paketit siirretään peruspakettiin kuulumattomien valinnaisten vaihtoehtojen luokkaan.
Nftables-pakettisuodatin on tunnettu IPv4-, IPv6-, ARP- ja verkkosiltojen pakettisuodatusrajapintojen yhdistämisestä. Nftables tarjoaa vain yleisen, protokollasta riippumattoman rajapinnan ytimen tasolla, joka tarjoaa perustoiminnot datan purkamiseen paketeista, datatoimintojen suorittamiseen ja vuon ohjaukseen. Itse suodatuslogiikka ja protokollakohtaiset käsittelijät käännetään käyttäjätilassa tavukoodiksi, jonka jälkeen tämä tavukoodi ladataan ytimeen Netlink-rajapinnan avulla ja suoritetaan erityisessä BPF:ää (Berkeley Packet Filters) muistuttavassa virtuaalikoneessa.
Oletusarvoisesti Debian 11 tarjoaa myös dynaamisen palomuurin, joka on suunniteltu kääreeksi nftables-ohjelmien päälle. Firewalld toimii taustaprosessina, jonka avulla voit muuttaa dynaamisesti pakettisuodatussääntöjä DBus-väylän kautta ilman, että sinun tarvitsee ladata pakettisuodatussääntöjä uudelleen tai katkaista muodostettuja yhteyksiä. Palomuurin hallintaan käytetään palomuuri-cmd-apuohjelmaa, joka sääntöjä luotaessa ei perustu IP-osoitteisiin, verkkorajapintoihin ja porttinumeroihin, vaan palveluiden nimiin (esimerkiksi SSH:n avaamiseksi tarvitaan Sulje SSH suorittamalla "firewall-cmd -add -service= ssh" - "firewall-cmd -remove -service=ssh").
Lähde: opennet.ru