Arturo Borrero, en Debian Entwéckler deen Deel vum Netfilter Project Coreteam ass an Ënnerhalter vu Packagen am Zesummenhang mat nftables, iptables an Netfilter op Debian, réckelen déi nächst grouss Verëffentlechung vun Debian 11 fir nftables par défaut ze benotzen. Wann d'Propositioun guttgeheescht ass, ginn Packagen mat iptables an d'Kategorie vun fakultativen Optiounen zréckgezunn, déi net am Basispaket abegraff sinn.
Den Nftables Paketfilter ass bemierkenswäert fir seng Vereenegung vu Paketfilterschnëttplazen fir IPv4, IPv6, ARP an Netzwierkbrécke. Nftables bitt nëmmen eng generesch, protokollonofhängeg Interface um Kernelniveau, déi Basisfunktiounen ubitt fir Daten aus Päckchen ze extrahieren, Datenoperatiounen auszeféieren a Flowkontrolle. D'Filterlogik selwer a Protokollspezifesch Handler ginn an Bytecode am Benotzerraum zesummegesat, duerno gëtt dëse Bytecode an de Kernel mat der Netlink Interface gelueden an an enger spezieller virtueller Maschinn ausgefouert, déi un BPF (Berkeley Packet Filters) erënnert.
Par défaut bitt Debian 11 och déi dynamesch Firewall Firewalld, entworf als Wrapper uewen op nftables. Firewalld leeft als Hannergrondprozess deen Iech erlaabt dynamesch Paketfilterregelen iwwer DBus z'änneren ouni d'Packetfilterregelen nei ze lueden oder etabléiert Verbindungen ze briechen. Fir d'Firewall ze verwalten, gëtt d'Firewall-cmd Utility benotzt, déi, wann Dir Regelen erstellt, net op IP Adressen, Netzwierkschnëttplazen a Portnummeren baséiert, mee op den Nimm vu Servicer (zum Beispill, fir Zougang zu SSH opzemaachen, musst Dir lafen "firewall-cmd -add -service = ssh", fir SSH zou ze maachen - "firewall-cmd -remove -service = ssh").
Source: opennet.ru