Arturo Borrero 氏は、Netfilter プロジェクトのコアチームの一員であり、Debian 上の nftables、iptables、および netfilter 関連のパッケージのメンテナである Debian 開発者です。 Debian 11 の次のメジャー リリースでは、デフォルトで nftables を使用するように移行します。 この提案が承認された場合、iptables を使用したパッケージは、基本パッケージに含まれないオプションのカテゴリに格下げされます。
Nftables パケット フィルターは、IPv4、IPv6、ARP、およびネットワーク ブリッジのパケット フィルター インターフェイスを統合していることで有名です。 Nftables は、パケットからのデータの抽出、データ操作の実行、およびフロー制御の基本機能を提供する、カーネル レベルでのプロトコルに依存しない汎用インターフェイスのみを提供します。 フィルタリング ロジック自体とプロトコル固有のハンドラーはユーザー空間でバイトコードにコンパイルされ、その後、このバイトコードは Netlink インターフェイスを使用してカーネルにロードされ、BPF (Berkeley Packet Filters) を思わせる特別な仮想マシンで実行されます。
デフォルトでは、Debian 11 は、nftables 上のラッパーとして設計された動的ファイアウォール firewalld も提供します。 Firewalld はバックグラウンド プロセスとして実行され、パケット フィルター ルールをリロードしたり、確立された接続を切断したりすることなく、DBus 経由でパケット フィルター ルールを動的に変更できます。 ファイアウォールを管理するには、firewall-cmd ユーティリティが使用されます。このユーティリティは、ルールを作成するときに、IP アドレス、ネットワーク インターフェイス、ポート番号ではなく、サービスの名前に基づきます (たとえば、SSH へのアクセスを開くには、 「firewall-cmd —add —service= ssh」を実行して SSH を閉じます (「firewall-cmd –remove –service=ssh」)。
出所: オープンネット.ru