Arturo Borrero, développeur Debian qui fait partie du Coreteam du projet Netfilter et responsable des paquets liés à nftables, iptables et netfilter sur Debian, déplacer la prochaine version majeure de Debian 11 pour utiliser nftables par défaut. Si la proposition est approuvée, les packages avec iptables seront relégués dans la catégorie des options facultatives non incluses dans le package de base.
Le filtre de paquets Nftables se distingue par son unification des interfaces de filtrage de paquets pour IPv4, IPv6, ARP et les ponts réseau. Nftables fournit uniquement une interface générique indépendante du protocole au niveau du noyau qui fournit des fonctions de base pour extraire des données de paquets, effectuer des opérations sur les données et contrôler le flux. La logique de filtrage elle-même et les gestionnaires spécifiques au protocole sont compilés en bytecode dans l'espace utilisateur, après quoi ce bytecode est chargé dans le noyau à l'aide de l'interface Netlink et exécuté dans une machine virtuelle spéciale rappelant BPF (Berkeley Packet Filters).
Par défaut, Debian 11 propose également le pare-feu dynamique firewalld, conçu comme un wrapper au-dessus de nftables. Firewalld s'exécute comme un processus en arrière-plan qui vous permet de modifier dynamiquement les règles de filtrage de paquets via DBus sans avoir à recharger les règles de filtrage de paquets ni à rompre les connexions établies. Pour gérer le pare-feu, on utilise l'utilitaire firewall-cmd qui, lors de la création de règles, n'est pas basé sur les adresses IP, les interfaces réseau et les numéros de port, mais sur les noms de services (par exemple, pour ouvrir l'accès à SSH, vous devez exécutez « firewall-cmd —add —service= ssh », pour fermer SSH – « firewall-cmd –remove –service=ssh »).
Source: opennet.ru