Arturo Borrero, en Debian-utvikler som er en del av Netfilter Project Coreteam og vedlikeholder av pakker relatert til nftables, iptables og netfilter på Debian, flytte den neste store utgivelsen av Debian 11 for å bruke nftables som standard. Hvis forslaget blir godkjent, vil pakker med iptables bli henvist til kategorien med valgfrie alternativer som ikke er inkludert i grunnpakken.
Nftables-pakkefilteret er kjent for sin forening av pakkefiltreringsgrensesnitt for IPv4, IPv6, ARP og nettverksbroer. Nftables gir bare et generisk, protokolluavhengig grensesnitt på kjernenivå som gir grunnleggende funksjoner for å trekke ut data fra pakker, utføre dataoperasjoner og flytkontroll. Selve filtreringslogikken og protokollspesifikke behandlere kompileres til bytekode i brukerrommet, hvoretter denne bytekoden lastes inn i kjernen ved hjelp av Netlink-grensesnittet og kjøres i en spesiell virtuell maskin som minner om BPF (Berkeley Packet Filters).
Som standard tilbyr Debian 11 også den dynamiske brannmuren, designet som en innpakning på toppen av nftables. Firewalld kjører som en bakgrunnsprosess som lar deg endre pakkefilterregler dynamisk via DBus uten å måtte laste inn pakkefilterreglene på nytt eller bryte etablerte tilkoblinger. For å administrere brannmuren brukes brannmur-cmd-verktøyet, som ved opprettelse av regler ikke er basert på IP-adresser, nettverksgrensesnitt og portnumre, men på navn på tjenester (for eksempel for å åpne tilgang til SSH må du kjør “firewall-cmd —add —service= ssh”, for å lukke SSH – “firewall-cmd –remove –service=ssh”).
Kilde: opennet.ru