Arturo Borrero, Debian izstrādātājs, kurš ir daļa no Netfilter Project Coreteam un ar nftables, iptables un netfilter saistīto pakotņu uzturētājs Debian, pārvietot nākamo lielāko Debian 11 laidienu, lai pēc noklusējuma izmantotu nftables. Ja priekšlikums tiks apstiprināts, pakotnes ar iptables tiks novirzītas uz izvēles opciju kategoriju, kas nav iekļauta pamata pakotnē.
Nftables pakešu filtrs ir ievērojams ar tā pakešu filtrēšanas interfeisu apvienošanu IPv4, IPv6, ARP un tīkla tiltiem. Nftables nodrošina tikai vispārīgu, no protokola neatkarīgu saskarni kodola līmenī, kas nodrošina pamatfunkcijas datu ieguvei no paketēm, datu operāciju veikšanai un plūsmas kontrolei. Pati filtrēšanas loģika un protokolam raksturīgie apstrādātāji tiek apkopoti baitkodā lietotāja telpā, pēc kura šis baitkods tiek ielādēts kodolā, izmantojot Netlink interfeisu, un tiek izpildīts īpašā virtuālajā mašīnā, kas atgādina BPF (Berkeley Packet Filters).
Pēc noklusējuma Debian 11 piedāvā arī dinamiskā ugunsmūra ugunsmūri, kas izveidots kā iesaiņojums virs nftables. Ugunsmūris darbojas kā fona process, kas ļauj dinamiski mainīt pakešu filtra noteikumus, izmantojot DBus, nepārlādējot pakešu filtra noteikumus vai nepārtraucot izveidotos savienojumus. Ugunsmūra pārvaldībai tiek izmantota utilīta firewall-cmd, kas, veidojot noteikumus, balstās nevis uz IP adresēm, tīkla saskarnēm un portu numuriem, bet gan uz pakalpojumu nosaukumiem (piemēram, lai atvērtu piekļuvi SSH palaidiet "firewall-cmd -add -service= ssh", lai aizvērtu SSH - "firewall-cmd -remove -service=ssh").
Avots: opennet.ru