Arturo Borrero 氏は、Netfilter プロジェクトのコアチームの一員であり、Debian 上の nftables、iptables、および netfilter 関連のパッケージのメンテナである Debian 開発者です。 Debian 11 の次のメジャー リリースでは、デフォルトで nftables を使用するように移行します。 この提案が承認された場合、iptables を使用したパッケージは、基本パッケージに含まれないオプションのカテゴリに格下げされます。
Nftables パケット フィルターは、IPv4、IPv6、ARP、およびネットワーク ブリッジのパケット フィルター インターフェイスを統合していることで有名です。 Nftables は、パケットからのデータの抽出、データ操作の実行、およびフロー制御の基本機能を提供する、カーネル レベルでのプロトコルに依存しない汎用インターフェイスのみを提供します。 フィルタリング ロジック自体とプロトコル固有のハンドラーはユーザー空間でバイトコードにコンパイルされ、その後、このバイトコードは Netlink インターフェイスを使用してカーネルにロードされ、BPF (Berkeley Packet Filters) を思わせる特別な仮想マシンで実行されます。
Debian 11はデフォルトで、nftablesのラッパーとして実装された動的ファイアウォールであるfirewalldも提供しています。firewalldはバックグラウンドプロセスとして動作し、パケットフィルタルールの再読み込みや確立された接続の中断なしに、DBus経由で動的パケットフィルタルールの変更を可能にします。ファイアウォールはfirewall-cmdユーティリティを使用して管理され、このユーティリティは以下に基づいてルールを作成します。 IPアドレス、ネットワークインターフェース、ポート番号ではなく、サービス名から取得します (たとえば、SSH へのアクセスを開くには「firewall-cmd —add —service=ssh」を実行し、SSH を閉じるには「firewall-cmd —remove —service=ssh」を実行する必要があります)。
出所: オープンネット.ru
