Arturo Borrero, pengembang Debian yang merupakan bagian dari Netfilter Project Coreteam dan pengelola paket yang terkait dengan nftables, iptables, dan netfilter di Debian, pindahkan rilis besar Debian 11 berikutnya untuk menggunakan nftables secara default. Jika proposal disetujui, paket dengan iptables akan diturunkan ke kategori opsi opsional yang tidak termasuk dalam paket dasar.
Filter paket Nftables terkenal karena penyatuan antarmuka pemfilteran paket untuk IPv4, IPv6, ARP, dan jembatan jaringan. Nftables hanya menyediakan antarmuka umum dan tidak bergantung pada protokol di tingkat kernel yang menyediakan fungsi dasar untuk mengekstraksi data dari paket, melakukan operasi data, dan kontrol aliran. Logika pemfilteran itu sendiri dan penangan khusus protokol dikompilasi ke dalam bytecode di ruang pengguna, setelah itu bytecode ini dimuat ke dalam kernel menggunakan antarmuka Netlink dan dieksekusi dalam mesin virtual khusus yang mengingatkan pada BPF (Berkeley Packet Filters).
Secara default, Debian 11 juga menawarkan firewall dinamis firewalld, dirancang sebagai pembungkus di atas nftables. Firewalld berjalan sebagai proses latar belakang yang memungkinkan Anda mengubah aturan filter paket secara dinamis melalui DBus tanpa harus memuat ulang aturan filter paket atau memutus koneksi yang sudah ada. Untuk mengelola firewall, utilitas firewall-cmd digunakan, yang, saat membuat aturan, tidak didasarkan pada alamat IP, antarmuka jaringan, dan nomor port, tetapi pada nama layanan (misalnya, untuk membuka akses ke SSH, Anda perlu jalankan “firewall-cmd —add —service= ssh”, untuk menutup SSH – “firewall-cmd –remove –service=ssh”).
Sumber: opennet.ru