Arturo Borrero, Debian-ի ծրագրավորող, ով Netfilter Project Coreteam-ի մի մասն է և Debian-ում nftables-ի, iptables-ի և netfilter-ի հետ կապված փաթեթների սպասարկող, տեղափոխեք Debian 11-ի հաջորդ հիմնական թողարկումը՝ լռելյայնորեն օգտագործելու nftables: Եթե առաջարկը հաստատվի, iptables-ով փաթեթները կտեղափոխվեն հիմնական փաթեթում չներառված կամընտիր տարբերակների կատեգորիա:
Nftables փաթեթային զտիչը նշանավոր է IPv4, IPv6, ARP և ցանցային կամուրջների փաթեթների զտման միջերեսների միավորմամբ: Nftables-ը միջուկի մակարդակում ապահովում է միայն ընդհանուր, պրոտոկոլից անկախ ինտերֆեյս, որն ապահովում է հիմնական գործառույթները փաթեթներից տվյալներ հանելու, տվյալների գործողություններ կատարելու և հոսքի վերահսկման համար: Ինքը՝ զտման տրամաբանությունը և պրոտոկոլի հատուկ մշակիչները կազմվում են բայթկոդի մեջ՝ օգտագործողի տարածքում, որից հետո այս բայթկոդը բեռնվում է միջուկում՝ օգտագործելով Netlink ինտերֆեյսը և գործարկվում հատուկ վիրտուալ մեքենայում, որը հիշեցնում է BPF (Berkeley Packet Filters):
Լռելյայնորեն, Debian 11-ն առաջարկում է նաև դինամիկ firewall firewall-ը, որը նախագծված է որպես nftable-ների վերևում փաթաթող: Firewalld-ն աշխատում է որպես ֆոնային գործընթաց, որը թույլ է տալիս դինամիկ կերպով փոխել փաթեթների ֆիլտրի կանոնները DBus-ի միջոցով՝ առանց փաթեթների ֆիլտրի կանոնները վերաբեռնելու կամ հաստատված կապերը խզելու: Firewall-ը կառավարելու համար օգտագործվում է firewall-cmd կոմունալ ծրագիրը, որը կանոններ ստեղծելիս հիմնված է ոչ թե IP հասցեների, ցանցային միջերեսների և նավահանգիստների համարների, այլ ծառայությունների անունների վրա (օրինակ՝ SSH մուտքը բացելու համար անհրաժեշտ է. գործարկեք «firewall-cmd —add —service= ssh», փակելու համար SSH – «firewall-cmd –remove –service=ssh»):
Source: opennet.ru