Arturo Borrero, en Debianutvecklare som är en del av Netfilter Project Coreteam och underhållare av paket relaterade till nftables, iptables och netfilter på Debian, flytta nästa stora utgåva av Debian 11 för att använda nftables som standard. Om förslaget godkänns kommer paket med iptables att förpassas till kategorin valfria alternativ som inte ingår i grundpaketet.
Nftables-paketfiltret är anmärkningsvärt för dess enande av paketfiltreringsgränssnitt för IPv4, IPv6, ARP och nätverksbryggor. Nftables tillhandahåller endast ett generiskt, protokolloberoende gränssnitt på kärnnivå som tillhandahåller grundläggande funktioner för att extrahera data från paket, utföra dataoperationer och flödeskontroll. Själva filtreringslogiken och protokollspecifika hanterare kompileras till bytekod i användarutrymmet, varefter denna bytekod laddas in i kärnan med hjälp av Netlink-gränssnittet och exekveras i en speciell virtuell maskin som påminner om BPF (Berkeley Packet Filters).
Som standard erbjuder Debian 11 också den dynamiska brandväggen, designad som ett omslag ovanpå nftables. Firewalld körs som en bakgrundsprocess som låter dig ändra paketfilterregler dynamiskt via DBus utan att behöva ladda om paketfilterreglerna eller bryta etablerade anslutningar. För att hantera brandväggen används brandvägg-cmd-verktyget, som, när man skapar regler, inte baseras på IP-adresser, nätverksgränssnitt och portnummer, utan på namnen på tjänster (till exempel för att öppna åtkomst till SSH måste du kör “firewall-cmd —add —service= ssh”, för att stänga SSH – “firewall-cmd –remove –service=ssh”).
Källa: opennet.ru