Netfilter Project Coreteam의 일원이자 Debian의 nftables, iptables 및 netfilter 관련 패키지 관리자인 Debian 개발자 Arturo Borrero는 기본적으로 nftables를 사용하도록 데비안 11의 다음 주요 릴리스로 이동하세요. 제안이 승인되면 iptables가 포함된 패키지는 기본 패키지에 포함되지 않은 선택 옵션 범주로 강등됩니다.
Nftables 패킷 필터는 IPv4, IPv6, ARP 및 네트워크 브리지에 대한 패킷 필터링 인터페이스의 통합으로 유명합니다. Nftables는 패킷에서 데이터 추출, 데이터 작업 수행 및 흐름 제어를 위한 기본 기능을 제공하는 커널 수준의 일반적인 프로토콜 독립적 인터페이스만 제공합니다. 필터링 로직 자체와 프로토콜별 핸들러는 사용자 공간에서 바이트코드로 컴파일된 후 이 바이트코드가 Netlink 인터페이스를 사용하여 커널에 로드되고 BPF(Berkeley Packet Filters)를 연상시키는 특수 가상 머신에서 실행됩니다.
기본적으로 Debian 11은 nftables 위에 래퍼로 설계된 동적 방화벽 방화벽도 제공합니다. Firewalld는 패킷 필터 규칙을 다시 로드하거나 설정된 연결을 끊지 않고도 DBus를 통해 패킷 필터 규칙을 동적으로 변경할 수 있는 백그라운드 프로세스로 실행됩니다. 방화벽을 관리하려면 규칙을 생성할 때 IP 주소, 네트워크 인터페이스 및 포트 번호가 아닌 서비스 이름을 기반으로 하는 Firewall-cmd 유틸리티가 사용됩니다(예: SSH에 대한 액세스를 열려면 다음이 필요함). "firewall-cmd —add —service= ssh"를 실행하여 SSH를 닫습니다(“firewall-cmd –remove –service=ssh”).
출처 : opennet.ru