Arturo Borrero, desenvolvedor Debian que faz parte do Netfilter Project Coreteam e mantenedor de pacotes relacionados a nftables, iptables e netfilter no Debian, mova a próxima versão principal do Debian 11 para usar nftables por padrão. Caso a proposta seja aprovada, os pacotes com iptables serão relegados à categoria de opções opcionais não incluídas no pacote básico.
O filtro de pacotes Nftables é notável por sua unificação de interfaces de filtragem de pacotes para IPv4, IPv6, ARP e pontes de rede. Nftables fornece apenas uma interface genérica e independente de protocolo no nível do kernel que fornece funções básicas para extrair dados de pacotes, realizar operações de dados e controle de fluxo. A própria lógica de filtragem e os manipuladores específicos do protocolo são compilados em bytecode no espaço do usuário, após o qual esse bytecode é carregado no kernel usando a interface Netlink e executado em uma máquina virtual especial que lembra BPF (Berkeley Packet Filters).
Por padrão, o Debian 11 também oferece o firewall dinâmico firewalld, projetado como um wrapper sobre nftables. O Firewalld é executado como um processo em segundo plano que permite alterar dinamicamente as regras de filtro de pacotes via DBus sem precisar recarregar as regras de filtro de pacotes ou interromper as conexões estabelecidas. Para gerenciar o firewall, é utilizado o utilitário firewall-cmd, que, ao criar regras, não se baseia em endereços IP, interfaces de rede e números de porta, mas em nomes de serviços (por exemplo, para abrir o acesso ao SSH você precisa execute “firewall-cmd —add —service= ssh”, para fechar o SSH – “firewall-cmd –remove –service=ssh”).
Fonte: opennet.ru