Arturo Borrero, egy Debian fejlesztő, aki a Netfilter Project Coreteam része, és az nftables, iptables és netfilter csomagokhoz kapcsolódó csomagok karbantartója a Debianon,
Az Nftables csomagszűrő az IPv4, IPv6, ARP és hálózati hidak csomagszűrő interfészeinek egységesítéséről nevezetes. Az Nftables csak egy általános, protokollfüggetlen interfészt biztosít a kernel szintjén, amely alapvető funkciókat biztosít az adatok csomagokból történő kinyeréséhez, adatműveletek végrehajtásához és áramlásvezérléshez. Magát a szűrési logikát és a protokoll-specifikus kezelőket a felhasználói térben bájtkódba fordítják, majd ezt a bájtkódot a Netlink interfész segítségével betöltik a kernelbe, és egy speciális, BPF-re (Berkeley Packet Filters) emlékeztető virtuális gépen hajtják végre.
A Debian 11 alapértelmezés szerint a dinamikus tűzfal tűzfalat is kínálja, amely az nftables tetejére készült burkolóként van kialakítva. A Firewalld háttérfolyamatként fut, amely lehetővé teszi a csomagszűrő szabályok dinamikus módosítását a DBus-on keresztül anélkül, hogy újra kellene töltenie a csomagszűrő szabályokat vagy meg kellene szakítania a létrehozott kapcsolatokat. A tűzfal kezelésére a firewall-cmd segédprogramot használják, amely a szabályok létrehozásakor nem IP-címeken, hálózati interfészeken és portszámokon alapul, hanem a szolgáltatások nevein (például az SSH eléréséhez szükséges futtassa a „firewall-cmd —add —service= ssh” parancsot az SSH bezárásához – „firewall-cmd –remove –service=ssh”).
Forrás: opennet.ru