Arturo Borrero, msanidi programu wa Debian ambaye ni sehemu ya Coreteam ya Netfilter Project na mtunzaji wa vifurushi vinavyohusiana na nfttables, iptables na netfilter kwenye Debian, sogeza toleo kuu linalofuata la Debian 11 ili kutumia nftables kwa chaguo-msingi. Ikiwa pendekezo limeidhinishwa, vifurushi vilivyo na iptables vitarejeshwa kwenye aina ya chaguo za hiari ambazo hazijajumuishwa kwenye kifurushi cha msingi.
Kichujio cha pakiti cha Nftables kinajulikana kwa muunganisho wake wa violesura vya kuchuja pakiti kwa IPv4, IPv6, ARP na madaraja ya mtandao. Nftables hutoa kiolesura cha jumla, kisichojitegemea kiitifaki katika kiwango cha kernel ambacho hutoa utendakazi wa kimsingi wa kutoa data kutoka kwa pakiti, kutekeleza shughuli za data, na udhibiti wa mtiririko. Mantiki ya kuchuja yenyewe na vidhibiti mahususi vya itifaki hukusanywa kuwa bytecode katika nafasi ya mtumiaji, kisha bytecode hii hupakiwa kwenye kernel kwa kutumia kiolesura cha Netlink na kutekelezwa katika mashine maalum inayowakumbusha BPF (Berkeley Packet Filters).
Kwa chaguo-msingi, Debian 11 pia hutoa firewalld inayobadilika, iliyoundwa kama kanga juu ya nftables. Firewalld huendesha kama mchakato wa usuli unaokuruhusu kubadilisha kwa nguvu sheria za kichujio cha pakiti kupitia DBus bila kulazimika kupakia upya sheria za kichujio cha pakiti au kuvunja miunganisho iliyowekwa. Ili kudhibiti firewall, matumizi ya firewall-cmd hutumiwa, ambayo, wakati wa kuunda sheria, sio msingi wa anwani za IP, miingiliano ya mtandao na nambari za bandari, lakini kwa majina ya huduma (kwa mfano, kufungua ufikiaji wa SSH unahitaji endesha "firewall-cmd -ongeza -service= ssh", ili kufunga SSH - "firewall-cmd -remove -service=ssh").
Chanzo: opennet.ru