Артуро Бореро, развивач на Debian кој е дел од Netfilter Project Coreteam и одржувач на пакети поврзани со nftables, iptables и netfilter на Debian, преместете го следното големо издание на Debian 11 за стандардно да користите nftables. Доколку предлогот биде одобрен, пакетите со iptables ќе бидат префрлени во категоријата опционални опции кои не се вклучени во основниот пакет.
Филтерот за пакети Nftables е познат по обединувањето на интерфејсите за филтрирање пакети за IPv4, IPv6, ARP и мрежни мостови. Nftables обезбедува само генерички интерфејс независен од протокол на ниво на кернел кој обезбедува основни функции за извлекување податоци од пакети, извршување на операции со податоци и контрола на протокот. Самата логика на филтрирање и ракувачите специфични за протоколот се компајлираат во бајтекод во корисничкиот простор, по што овој бајтекод се вчитува во кернелот со помош на интерфејсот Netlink и се извршува во специјална виртуелна машина која потсетува на BPF (Berkeley Packet Filters).
Стандардно, Debian 11 нуди и динамичен заштитен ѕид, дизајниран како обвивка на врвот на nftables. Firewalld работи како процес во заднина кој ви овозможува динамички да ги менувате правилата за филтер за пакети преку DBus без да мора повторно да ги вчитате правилата за филтер за пакети или да ги прекинувате воспоставените врски. За управување со заштитен ѕид, се користи алатката firewall-cmd, која, при креирање правила, не се заснова на IP адреси, мрежни интерфејси и броеви на порти, туку на имиња на услуги (на пример, за да отворите пристап до SSH, треба да стартувајте „firewall-cmd —add —service= ssh“, за да го затворите SSH – „firewall-cmd –remove –service=ssh“).
Извор: opennet.ru