Arturo Borrero, uno sviluppatore Debian che fa parte del Netfilter Project Coreteam e manutentore dei pacchetti relativi a nftables, iptables e netfilter su Debian, spostare la prossima versione principale di Debian 11 per utilizzare nftables per impostazione predefinita. Se la proposta verrà approvata, i pacchetti con iptables verranno relegati alla categoria delle opzioni opzionali non incluse nel pacchetto base.
Il filtro di pacchetti Nftables si distingue per la sua unificazione delle interfacce di filtraggio dei pacchetti per IPv4, IPv6, ARP e bridge di rete. Nftables fornisce solo un'interfaccia generica, indipendente dal protocollo a livello di kernel che fornisce funzioni di base per estrarre dati dai pacchetti, eseguire operazioni sui dati e controllo del flusso. La logica di filtraggio stessa e i gestori specifici del protocollo vengono compilati in bytecode nello spazio utente, dopodiché questo bytecode viene caricato nel kernel utilizzando l'interfaccia Netlink ed eseguito in una speciale macchina virtuale che ricorda BPF (Berkeley Packet Filters).
Per impostazione predefinita, Debian 11 offre anche il firewall dinamico firewalld, progettato come wrapper sopra nftables. Firewalld viene eseguito come processo in background che consente di modificare dinamicamente le regole del filtro dei pacchetti tramite DBus senza dover ricaricare le regole del filtro dei pacchetti o interrompere le connessioni stabilite. Per gestire il firewall, viene utilizzata l'utilità firewall-cmd, che, durante la creazione di regole, non si basa su indirizzi IP, interfacce di rete e numeri di porta, ma sui nomi dei servizi (ad esempio, per aprire l'accesso a SSH è necessario eseguire “firewall-cmd —add —service= ssh”, per chiudere SSH – “firewall-cmd –remove –service=ssh”).
Fonte: opennet.ru