Arturo Borrero, in Debian-ûntwikkelder dy't diel is fan it Netfilter Project Coreteam en ûnderhâlder fan pakketten yn ferbân mei nftables, iptables en netfilter op Debian, ferpleatse de folgjende grutte release fan Debian 11 om standert nftables te brûken. As it foarstel wurdt goedkard, wurde pakketten mei iptables degradearre nei de kategory fan opsjonele opsjes dy't net opnommen binne yn it basispakket.
It Nftables-pakketfilter is opmerklik foar syn ienwurding fan pakketfiltering-ynterfaces foar IPv4, IPv6, ARP en netwurkbrêgen. Nftables leveret allinich in generike, protokol-ûnôfhinklike ynterface op kernelnivo dy't basisfunksjes leveret foar it ekstrahearjen fan gegevens út pakketten, it útfieren fan gegevensoperaasjes en streamkontrôle. De filterlogika sels en protokol-spesifike handlers wurde kompilearre yn bytekoade yn brûkersromte, wêrnei't dizze bytekoade yn 'e kearn laden wurdt mei de Netlink-ynterface en útfierd yn in spesjale firtuele masine dy't docht tinken oan BPF (Berkeley Packet Filters).
Standert biedt Debian 11 ek de dynamyske firewall-firewalld, ûntwurpen as in wrapper boppe op nftables. Firewalld rint as in eftergrûnproses wêrmei jo pakketfilterregels dynamysk kinne feroarje fia DBus sûnder de pakketfilterregels opnij te laden of fêstige ferbiningen te brekken. Om de firewall te behearjen, wurdt it firewall-cmd-hulpprogramma brûkt, dat, by it meitsjen fan regels, net basearre is op IP-adressen, netwurkynterfaces en poartenûmers, mar op 'e nammen fan tsjinsten (bygelyks om tagong te iepenjen foar SSH moatte jo útfiere "firewall-cmd -add -service = ssh", om SSH te sluten - "firewall-cmd -remove -service = ssh").
Boarne: opennet.ru