Arturo Borrero, vývojár Debianu, ktorý je súčasťou Netfilter Project Coreteam a správca balíkov súvisiacich s nftables, iptables a netfilter v Debiane, presunúť ďalšie hlavné vydanie Debianu 11 tak, aby štandardne používalo nftables. Ak bude návrh schválený, balíky s iptables budú zaradené do kategórie voliteľných možností, ktoré nie sú zahrnuté v základnom balíku.
Paketový filter Nftables sa vyznačuje zjednotením rozhraní na filtrovanie paketov pre IPv4, IPv6, ARP a sieťové mosty. Nftables poskytuje iba generické rozhranie nezávislé na protokole na úrovni jadra, ktoré poskytuje základné funkcie na extrahovanie dát z paketov, vykonávanie dátových operácií a riadenie toku. Samotná logika filtrovania a obslužné programy špecifické pre protokol sú v užívateľskom priestore skompilované do bajtkódu, po čom sa tento bajtový kód nahrá do jadra pomocou rozhrania Netlink a spustí sa v špeciálnom virtuálnom stroji, ktorý pripomína BPF (Berkeley Packet Filters).
V predvolenom nastavení Debian 11 ponúka aj dynamický firewall firewall, navrhnutý ako obal na nftables. Firewalld beží ako proces na pozadí, ktorý vám umožňuje dynamicky meniť pravidlá filtrovania paketov cez DBus bez toho, aby ste museli znova načítať pravidlá filtrovania paketov alebo prerušiť vytvorené spojenia. Na správu firewallu sa používa nástroj firewall-cmd, ktorý pri vytváraní pravidiel nie je založený na IP adresách, sieťových rozhraniach a číslach portov, ale na názvoch služieb (napríklad na otvorenie prístupu k SSH je potrebné spustite „firewall-cmd —add —service= ssh“, čím zatvoríte SSH – „firewall-cmd –remove –service=ssh“).
Zdroj: opennet.ru