Arturo Borrero, pembangun Debian yang merupakan sebahagian daripada Netfilter Project Coreteam dan penyelenggara pakej yang berkaitan dengan nftables, iptables dan netfilter pada Debian, gerakkan keluaran utama Debian 11 seterusnya untuk menggunakan nftables secara lalai. Jika cadangan diluluskan, pakej dengan iptables akan diturunkan kepada kategori pilihan pilihan yang tidak termasuk dalam pakej asas.
Penapis paket Nftables terkenal kerana penyatuan antara muka penapisan paket untuk IPv4, IPv6, ARP dan jambatan rangkaian. Nftables hanya menyediakan antara muka bebas protokol generik pada peringkat kernel yang menyediakan fungsi asas untuk mengekstrak data daripada paket, melaksanakan operasi data dan kawalan aliran. Logik penapisan itu sendiri dan pengendali khusus protokol disusun menjadi kod bait dalam ruang pengguna, selepas itu kod bait ini dimuatkan ke dalam kernel menggunakan antara muka Netlink dan dilaksanakan dalam mesin maya khas yang mengingatkan BPF (Penapis Paket Berkeley).
Secara lalai, Debian 11 juga menawarkan firewall dinding api dinamik, direka sebagai pembungkus di atas nftables. Firewalld berjalan sebagai proses latar belakang yang membolehkan anda menukar peraturan penapis paket secara dinamik melalui DBus tanpa perlu memuat semula peraturan penapis paket atau memutuskan sambungan yang telah ditetapkan. Untuk menguruskan firewall, utiliti firewall-cmd digunakan, yang, apabila membuat peraturan, bukan berdasarkan alamat IP, antara muka rangkaian dan nombor port, tetapi pada nama perkhidmatan (contohnya, untuk membuka akses kepada SSH anda perlu jalankan “firewall-cmd —add —service= ssh”, untuk menutup SSH – “firewall-cmd –remove –service=ssh”).
Sumber: opennet.ru