Arturo Borrero, een Debian-ontwikkelaar die deel uitmaakt van het Netfilter Project Coreteam en onderhouder van pakketten gerelateerd aan nftables, iptables en netfilter op Debian, verplaats de volgende grote release van Debian 11 om standaard nftables te gebruiken. Als het voorstel wordt goedgekeurd, worden pakketten met iptables gedegradeerd naar de categorie optionele opties die niet in het basispakket zijn opgenomen.
Het Nftables-pakketfilter valt op door de unificatie van pakketfilterinterfaces voor IPv4, IPv6, ARP en netwerkbruggen. Nftables biedt alleen een generieke, protocolonafhankelijke interface op kernelniveau die basisfuncties biedt voor het extraheren van gegevens uit pakketten, het uitvoeren van gegevensbewerkingen en stroomcontrole. De filterlogica zelf en protocolspecifieke handlers worden in de gebruikersruimte gecompileerd tot bytecode, waarna deze bytecode in de kernel wordt geladen met behulp van de Netlink-interface en wordt uitgevoerd in een speciale virtuele machine die doet denken aan BPF (Berkeley Packet Filters).
Standaard biedt Debian 11 ook de dynamische firewall firewalld, ontworpen als wrapper bovenop nftables. Firewalld draait als een achtergrondproces waarmee u pakketfilterregels dynamisch kunt wijzigen via DBus zonder dat u de pakketfilterregels opnieuw hoeft te laden of gevestigde verbindingen hoeft te verbreken. Om de firewall te beheren wordt het firewall-cmd-hulpprogramma gebruikt, dat bij het maken van regels niet gebaseerd is op IP-adressen, netwerkinterfaces en poortnummers, maar op de namen van services (om bijvoorbeeld toegang tot SSH te openen, moet u voer “firewall-cmd —add —service= ssh” uit om SSH te sluiten – “firewall-cmd –remove –service=ssh”).
Bron: opennet.ru