Arturo Borrero, un desenvolvedor de Debian que forma parte do Netfilter Project Coreteam e mantedor de paquetes relacionados con nftables, iptables e netfilter en Debian, mover a seguinte versión principal de Debian 11 para que use nftables por defecto. Se a proposta é aprobada, os paquetes con iptables quedarán relegados á categoría de opcións opcionais non incluídas no paquete básico.
O filtro de paquetes Nftables destaca pola súa unificación de interfaces de filtrado de paquetes para IPv4, IPv6, ARP e pontes de rede. Nftables ofrece só unha interface xenérica e independente do protocolo a nivel do núcleo que proporciona funcións básicas para extraer datos de paquetes, realizar operacións de datos e controlar o fluxo. A propia lóxica de filtrado e os controladores específicos do protocolo compílanse en bytecode no espazo do usuario, despois de que este bytecode cárgase no núcleo mediante a interface Netlink e execútase nunha máquina virtual especial que lembra a BPF (Berkeley Packet Filters).
Por defecto, Debian 11 tamén ofrece o firewall dinámico, deseñado como un envoltorio encima de nftables. Firewalld execútase como un proceso en segundo plano que lle permite cambiar dinámicamente as regras de filtro de paquetes a través de DBus sen ter que cargar de novo as regras de filtro de paquetes nin romper as conexións establecidas. Para xestionar o firewall, utilízase a utilidade firewall-cmd, que ao crear regras non se basea en enderezos IP, interfaces de rede e números de porto, senón nos nomes dos servizos (por exemplo, para abrir o acceso a SSH é necesario execute “firewall-cmd —add —service= ssh”, para pechar SSH – “firewall-cmd –remove –service=ssh”).
Fonte: opennet.ru