Debian 11 מציע nftables וחומת אש כברירת מחדל

Arturo Borrero, מפתח Debian שהוא חלק מ-Netfilter Project Coreteam ומתחזק חבילות הקשורות ל-nftables, iptables ו-netfilter בדביאן, מוצע העבר את המהדורה הגדולה הבאה של דביאן 11 לשימוש ב-nftables כברירת מחדל. אם ההצעה תאושר, חבילות עם iptables יידרשו לקטגוריית האפשרויות האופציונליות שאינן כלולות בחבילה הבסיסית.

מסנן מנות Nftables בולט באיחוד שלו של ממשקי סינון מנות עבור IPv4, IPv6, ARP וגשרי רשת. Nftables מספקת רק ממשק גנרי, בלתי תלוי בפרוטוקול ברמת הקרנל, המספק פונקציות בסיסיות לחילוץ נתונים מחבילות, ביצוע פעולות נתונים ובקרת זרימה. לוגיקית הסינון עצמה והמטפלים הספציפיים לפרוטוקול מורכבים לתוך bytecode במרחב המשתמש, ולאחר מכן קוד בית זה נטען לתוך הליבה באמצעות ממשק Netlink ומבוצע במכונה וירטואלית מיוחדת המזכירה את BPF (Berkeley Packet Filters).

כברירת מחדל, דביאן 11 מציעה גם חומת האש הדינמית של חומת האש, המעוצבת כעטיפה על גבי nftables. Firewalld פועל כתהליך רקע המאפשר לך לשנות באופן דינמי כללי סינון מנות באמצעות DBus מבלי לטעון מחדש את כללי מסנן המנות או לשבור חיבורים שנוצרו. לניהול חומת האש, נעשה שימוש בכלי השירות Firewall-cmd, אשר, בעת יצירת כללים, מבוסס לא על כתובות IP, ממשקי רשת ומספרי יציאות, אלא על שמות השירותים (לדוגמה, כדי לפתוח גישה ל-SSH אתה צריך הפעל את "firewall-cmd —add —service= ssh", כדי לסגור את SSH - "firewall-cmd -remove -service=ssh").

מקור: OpenNet.ru