Arturo Borrero, uno sviluppatore Debian che fa parte del Netfilter Project Coreteam e manutentore dei pacchetti relativi a nftables, iptables e netfilter su Debian, spostare la prossima versione principale di Debian 11 per utilizzare nftables per impostazione predefinita. Se la proposta verrà approvata, i pacchetti con iptables verranno relegati alla categoria delle opzioni opzionali non incluse nel pacchetto base.
Il filtro di pacchetti Nftables si distingue per la sua unificazione delle interfacce di filtraggio dei pacchetti per IPv4, IPv6, ARP e bridge di rete. Nftables fornisce solo un'interfaccia generica, indipendente dal protocollo a livello di kernel che fornisce funzioni di base per estrarre dati dai pacchetti, eseguire operazioni sui dati e controllo del flusso. La logica di filtraggio stessa e i gestori specifici del protocollo vengono compilati in bytecode nello spazio utente, dopodiché questo bytecode viene caricato nel kernel utilizzando l'interfaccia Netlink ed eseguito in una speciale macchina virtuale che ricorda BPF (Berkeley Packet Filters).
Di default, Debian 11 offre anche il firewall dinamico firewalld, implementato come wrapper su nftables. Firewalld viene eseguito come processo in background, consentendo la modifica dinamica delle regole del filtro dei pacchetti tramite DBus, senza dover ricaricare le regole del filtro dei pacchetti o interrompere le connessioni stabilite. Il firewall è gestito tramite l'utility firewall-cmd, che crea regole basate su Indirizzi IP, interfacce di rete e numeri di porta, ma dai nomi dei servizi (ad esempio, per aprire l'accesso a SSH, è necessario eseguire "firewall-cmd —add —service=ssh", per chiudere SSH — "firewall-cmd —remove —service=ssh").
Fonte: opennet.ru
