Arturo Borrero, un dezvoltator Debian care face parte din Coreteam Netfilter Project și întreținetor de pachete legate de nftables, iptables și netfilter pe Debian, mutați următoarea versiune majoră a Debian 11 pentru a utiliza nftables în mod implicit. Dacă propunerea este aprobată, pachetele cu iptables vor fi retrogradate în categoria opțiunilor opționale neincluse în pachetul de bază.
Filtrul de pachete Nftables se remarcă prin unificarea interfețelor de filtrare a pachetelor pentru IPv4, IPv6, ARP și punți de rețea. Nftables oferă doar o interfață generică, independentă de protocol la nivel de nucleu, care oferă funcții de bază pentru extragerea datelor din pachete, efectuarea operațiunilor de date și controlul fluxului. Logica de filtrare în sine și handlerele specifice protocolului sunt compilate în bytecode în spațiul utilizatorului, după care acest bytecode este încărcat în nucleu folosind interfața Netlink și executat într-o mașină virtuală specială care amintește de BPF (Berkeley Packet Filters).
În mod implicit, Debian 11 oferă, de asemenea, firewall-ul dinamic, proiectat ca un wrapper deasupra nftables. Firewalld rulează ca un proces de fundal care vă permite să schimbați în mod dinamic regulile de filtrare a pachetelor prin DBus fără a fi nevoie să reîncărcați regulile de filtrare a pachetelor sau să întrerupeți conexiunile stabilite. Pentru a gestiona firewall-ul, se folosește utilitarul firewall-cmd, care, la crearea regulilor, se bazează nu pe adrese IP, interfețe de rețea și numere de porturi, ci pe numele serviciilor (de exemplu, pentru a deschide accesul la SSH trebuie să rulați „firewall-cmd —add —service= ssh”, pentru a închide SSH – „firewall-cmd –remove –service=ssh”).
Sursa: opennet.ru