Артуро Борреро, Debian иштеп чыгуучусу, ал Netfilter долбоорунун Coreteam бөлүгү жана Debianдагы nftables, iptables жана netfilter менен байланышкан пакеттердин тейлөөчүсү, демейки боюнча nftables колдонуу үчүн Debian 11дин кийинки негизги чыгарылышын жылдырыңыз. Сунуш жактырылса, iptables менен пакеттер негизги пакетке кирбеген кошумча опциялардын категориясына которулат.
Nftables пакет чыпкасы IPv4, IPv6, ARP жана тармак көпүрөлөрү үчүн пакет чыпкалоо интерфейстерин бириктирүү менен өзгөчөлөнөт. Nftables пакеттерден маалыматтарды алуу, маалымат операцияларын аткаруу жана агымды башкаруу үчүн негизги функцияларды камсыз кылган ядро деңгээлинде жалпы, протоколдон көз карандысыз интерфейсти гана камсыз кылат. Фильтрлөө логикасынын өзү жана протоколго тиешелүү иштеткичтер колдонуучу мейкиндигинде байткодго түзүлөт, андан кийин бул байт код Netlink интерфейсинин жардамы менен ядрого жүктөлөт жана BPFди (Беркли пакеттик чыпкалары) эске салган атайын виртуалдык машинада аткарылат.
Демейки боюнча, Debian 11 ошондой эле nftables үстүнө орогуч катары иштелип чыккан динамикалык брандмауэрди сунуштайт. Firewalld фон процесси катары иштейт, ал пакет чыпкасынын эрежелерин DBus аркылуу динамикалык түрдө пакет чыпкалоо эрежелерин кайра жүктөөсүз же орнотулган байланыштарды үзбөй өзгөртүүгө мүмкүндүк берет. Брандмауэрди башкаруу үчүн брандмауэр-cmd утилитасы колдонулат, ал эрежелерди түзүүдө IP даректерине, тармак интерфейстерине жана порт номерлерине эмес, кызматтардын аталыштарына негизделет (мисалы, SSH мүмкүнчүлүгүн ачуу үчүн сиз SSH жабуу үчүн “брандмауэр-cmd —кошуу —сервис = ssh” иштетиңиз – “брандмауэр-cmd –remove –service=ssh”).
Source: opennet.ru