Arturo Borrero, programista Debiana, który jest częścią Netfilter Project Coreteam i opiekunem pakietów związanych z nftables, iptables i netfilter w Debianie, przenieść następną główną wersję Debiana 11, aby domyślnie korzystała z nftables. Jeżeli propozycja zostanie zatwierdzona, pakiety z iptables zostaną zdegradowane do kategorii opcji opcjonalnych, których nie ma w pakiecie podstawowym.
Filtr pakietów Nftables wyróżnia się ujednoliceniem interfejsów filtrowania pakietów dla IPv4, IPv6, ARP i mostów sieciowych. Nftables zapewnia jedynie ogólny, niezależny od protokołu interfejs na poziomie jądra, który zapewnia podstawowe funkcje wyodrębniania danych z pakietów, wykonywania operacji na danych i kontroli przepływu. Sama logika filtrowania i procedury obsługi specyficzne dla protokołu są kompilowane do kodu bajtowego w przestrzeni użytkownika, po czym ten kod bajtowy jest ładowany do jądra za pomocą interfejsu Netlink i wykonywany na specjalnej maszynie wirtualnej przypominającej BPF (Berkeley Packet Filters).
Domyślnie Debian 11 oferuje także dynamiczną zaporę firewall, zaprojektowaną jako opakowanie na nftables. Firewalld działa jako proces w tle, który umożliwia dynamiczną zmianę reguł filtrowania pakietów za pośrednictwem DBus bez konieczności ponownego ładowania reguł filtrowania pakietów lub zrywania nawiązanych połączeń. Do zarządzania zaporą używa się narzędzia firewall-cmd, które podczas tworzenia reguł opiera się nie na adresach IP, interfejsach sieciowych i numerach portów, ale na nazwach usług (na przykład, aby otworzyć dostęp do SSH, musisz uruchom „firewall-cmd —add —service= ssh”, aby zamknąć SSH – „firewall-cmd –remove –service=ssh”).
Źródło: opennet.ru