Arturo Borrero, egy Debian fejlesztő, aki a Netfilter Project Coreteam része, és az nftables, iptables és netfilter csomagokhoz kapcsolódó csomagok karbantartója a Debianon, helyezze át a Debian 11 következő nagyobb kiadását az nftables használatára alapértelmezés szerint. A javaslat jóváhagyása esetén az iptables csomagok az alapcsomagban nem szereplő opcionális opciók kategóriájába kerülnek.
Az Nftables csomagszűrő az IPv4, IPv6, ARP és hálózati hidak csomagszűrő interfészeinek egységesítéséről nevezetes. Az Nftables csak egy általános, protokollfüggetlen interfészt biztosít a kernel szintjén, amely alapvető funkciókat biztosít az adatok csomagokból történő kinyeréséhez, adatműveletek végrehajtásához és áramlásvezérléshez. Magát a szűrési logikát és a protokoll-specifikus kezelőket a felhasználói térben bájtkódba fordítják, majd ezt a bájtkódot a Netlink interfész segítségével betöltik a kernelbe, és egy speciális, BPF-re (Berkeley Packet Filters) emlékeztető virtuális gépen hajtják végre.
A Debian 11 alapértelmezés szerint a dinamikus tűzfal tűzfalat is kínálja, amely az nftables tetejére készült burkolóként van kialakítva. A Firewalld háttérfolyamatként fut, amely lehetővé teszi a csomagszűrő szabályok dinamikus módosítását a DBus-on keresztül anélkül, hogy újra kellene töltenie a csomagszűrő szabályokat vagy meg kellene szakítania a létrehozott kapcsolatokat. A tűzfal kezelésére a firewall-cmd segédprogramot használják, amely a szabályok létrehozásakor nem IP-címeken, hálózati interfészeken és portszámokon alapul, hanem a szolgáltatások nevein (például az SSH eléréséhez szükséges futtassa a „firewall-cmd —add —service= ssh” parancsot az SSH bezárásához – „firewall-cmd –remove –service=ssh”).
Forrás: opennet.ru