Arturo Borrero, razvijalec Debiana, ki je del Netfilter Project Coreteam in vzdrževalec paketov, povezanih z nftables, iptables in netfilter v Debianu, premaknite naslednjo večjo izdajo Debiana 11 na privzeto uporabo nftables. Če bo predlog odobren, bodo paketi z iptables potisnjeni v kategorijo izbirnih možnosti, ki niso vključene v osnovni paket.
Paketni filter Nftables je znan po poenotenju vmesnikov za filtriranje paketov za IPv4, IPv6, ARP in omrežne mostove. Nftables ponuja le generični vmesnik, neodvisen od protokola, na ravni jedra, ki zagotavlja osnovne funkcije za pridobivanje podatkov iz paketov, izvajanje podatkovnih operacij in nadzor pretoka. Sama logika filtriranja in obdelovalci, specifični za protokol, so v uporabniškem prostoru prevedeni v bajtno kodo, nakar se ta bajtna koda naloži v jedro s pomočjo vmesnika Netlink in izvede v posebnem virtualnem stroju, ki spominja na BPF (Berkeley Packet Filters).
Debian 11 privzeto ponuja tudi dinamični požarni zid firewalld, zasnovan kot ovoj na vrhu nftables. Firewalld deluje kot proces v ozadju, ki vam omogoča dinamično spreminjanje pravil paketnega filtra prek DBus, ne da bi morali znova naložiti pravila paketnega filtra ali prekiniti vzpostavljene povezave. Za upravljanje požarnega zidu se uporablja pripomoček firewall-cmd, ki pri ustvarjanju pravil ne temelji na naslovih IP, omrežnih vmesnikih in številkah vrat, temveč na imenih storitev (na primer, da odprete dostop do SSH, morate zaženite “firewall-cmd —add —service= ssh”, da zaprete SSH – “firewall-cmd –remove –service=ssh”).
Vir: opennet.ru