Артуро Борреро, Netfilter Project Coreteam-ийн нэг хэсэг бөгөөд Debian дээрх nftables, iptables болон netfilter-тай холбоотой багцуудыг хариуцдаг Debian хөгжүүлэгч, Debian 11-ийн дараагийн томоохон хувилбарыг өгөгдмөлөөр nftables ашиглахын тулд шилжүүлээрэй. Санал батлагдсан тохиолдолд iptables бүхий багцууд үндсэн багцад ороогүй нэмэлт сонголтуудын ангилалд багтах болно.
Nftables пакет шүүлтүүр нь IPv4, IPv6, ARP болон сүлжээний гүүрний багц шүүлтүүрийн интерфейсийг нэгтгэдгээрээ онцлог юм. Nftables нь цөмийн түвшинд зөвхөн ерөнхий, протоколоос хамааралгүй интерфэйсийг хангадаг бөгөөд энэ нь пакетуудаас өгөгдөл гаргаж авах, өгөгдлийн үйлдлийг гүйцэтгэх, урсгалыг хянах үндсэн функцуудыг хангадаг. Шүүлтүүрийн логик өөрөө болон протоколын тусгай зохицуулагчийг хэрэглэгчийн орон зайд байт код болгон эмхэтгэсний дараа энэ байт кодыг Netlink интерфейсийг ашиглан цөмд ачаалж, BPF (Беркли Пакет шүүлтүүр) -ийг санагдуулам тусгай виртуал машинд ажиллуулдаг.
Анхдагч байдлаар, Debian 11 нь мөн nftables дээр боодол хэлбэрээр хийгдсэн динамик галт ханыг санал болгодог. Галт хана нь багц шүүлтүүрийн дүрмийг дахин ачаалах эсвэл тогтсон холболтыг таслахгүйгээр DBus-ээр дамжуулан пакет шүүлтүүрийн дүрмийг динамикаар өөрчлөх боломжийг олгодог суурь процесс хэлбэрээр ажилладаг. Галт ханыг удирдахын тулд галт хана-cmd хэрэгслийг ашигладаг бөгөөд дүрмийг бий болгохдоо IP хаяг, сүлжээний интерфейс, портын дугаар дээр биш харин үйлчилгээний нэр дээр суурилдаг (жишээлбэл, SSH хандалтыг нээхийн тулд та SSH-г хаахын тулд "галт хана-cmd -add -service= ssh"-г ажиллуулаарай - "галт хана-cmd -remove -service=ssh").
Эх сурвалж: opennet.ru