Артуро Борреро, Netfilter Project Coreteam бөлігі болып табылатын Debian әзірлеушісі және Debian-дағы nftables, iptables және netfilter-ге қатысты пакеттердің қолдаушысы, әдепкі бойынша nftables пайдалану үшін Debian 11 келесі негізгі шығарылымын жылжытыңыз. Егер ұсыныс мақұлданса, iptables бар пакеттер негізгі пакетке кірмейтін қосымша опциялар санатына ауыстырылады.
Nftables пакеттік сүзгісі IPv4, IPv6, ARP және желілік көпірлер үшін пакеттерді сүзу интерфейстерін біріктіруімен ерекшеленеді. Nftables пакеттерден деректерді алу, деректер операцияларын орындау және ағынды басқару үшін негізгі функцияларды қамтамасыз ететін ядро деңгейінде тек жалпы, протоколға тәуелсіз интерфейсті қамтамасыз етеді. Сүзгілеу логикасының өзі және хаттамаға тән өңдеушілер пайдаланушы кеңістігінде байткодқа жинақталады, содан кейін бұл байт код Netlink интерфейсінің көмегімен ядроға жүктеледі және BPF (Berkeley Packet Filters) еске түсіретін арнайы виртуалды машинада орындалады.
Әдепкі бойынша, Debian 11 сонымен қатар nftables үстіне орауыш ретінде жасалған динамикалық брандмауэр брандмауэрін ұсынады. Брандмауэр пакеттік сүзгі ережелерін қайта жүктеусіз немесе орнатылған қосылымдарды бұзбай DBus арқылы динамикалық түрде пакет сүзгі ережелерін өзгертуге мүмкіндік беретін фондық процесс ретінде жұмыс істейді. Брандмауэрді басқару үшін ережелерді жасау кезінде IP мекенжайларына, желі интерфейстеріне және порт нөмірлеріне емес, қызметтердің атауларына негізделетін брандмауэр-cmd утилитасы пайдаланылады (мысалы, SSH рұқсатын ашу үшін сізге қажет SSH – «брандмауэр-cmd –remove –service=ssh») жабу үшін «брандмауэр-cmd —add —service= ssh» іске қосыңыз.
Ақпарат көзі: opennet.ru