Arturo Borrero นักพัฒนา Debian ซึ่งเป็นส่วนหนึ่งของ Netfilter Project Coreteam และผู้ดูแลแพ็คเกจที่เกี่ยวข้องกับ nftables, iptables และ netfilter บน Debian ย้าย Debian 11 รุ่นหลักถัดไปเพื่อใช้ nftables เป็นค่าเริ่มต้น หากข้อเสนอได้รับการอนุมัติ แพ็คเกจที่มี iptables จะถูกลดระดับลงในหมวดหมู่ของตัวเลือกเสริมที่ไม่รวมอยู่ในแพ็คเกจพื้นฐาน
ตัวกรองแพ็กเก็ต Nftables มีความโดดเด่นในด้านการรวมอินเทอร์เฟซการกรองแพ็กเก็ตสำหรับ IPv4, IPv6, ARP และบริดจ์เครือข่าย Nftables จัดเตรียมอินเทอร์เฟซทั่วไปที่ไม่ขึ้นกับโปรโตคอลในระดับเคอร์เนลซึ่งมีฟังก์ชันพื้นฐานสำหรับการแยกข้อมูลจากแพ็กเก็ต การดำเนินการข้อมูล และการควบคุมการไหล ตรรกะการกรองและตัวจัดการเฉพาะโปรโตคอลจะถูกรวบรวมเป็นรหัสไบต์ในพื้นที่ผู้ใช้ หลังจากนั้นรหัสไบต์นี้จะถูกโหลดลงในเคอร์เนลโดยใช้อินเทอร์เฟซ Netlink และดำเนินการในเครื่องเสมือนพิเศษที่ชวนให้นึกถึง BPF (ตัวกรองแพ็คเก็ตเบิร์กลีย์)
ตามค่าเริ่มต้น Debian 11 ยังมีไฟร์วอลล์ไฟร์วอลล์แบบไดนามิก ซึ่งออกแบบมาเป็น wrapper ที่ด้านบนของ nftable ไฟร์วอลล์ทำงานเป็นกระบวนการเบื้องหลังที่ช่วยให้คุณเปลี่ยนกฎตัวกรองแพ็คเก็ตแบบไดนามิกผ่าน DBus โดยไม่ต้องโหลดกฎตัวกรองแพ็คเก็ตใหม่หรือทำลายการเชื่อมต่อที่สร้างขึ้น ในการจัดการไฟร์วอลล์นั้นจะใช้ยูทิลิตี้ firewall-cmd ซึ่งเมื่อสร้างกฎนั้นไม่ได้ขึ้นอยู่กับที่อยู่ IP อินเทอร์เฟซเครือข่ายและหมายเลขพอร์ต แต่ขึ้นอยู่กับชื่อของบริการ (ตัวอย่างเช่นเพื่อเปิดการเข้าถึง SSH คุณต้อง เรียกใช้ “firewall-cmd —add —service= ssh” เพื่อปิด SSH – “firewall-cmd –remove –service=ssh”)
ที่มา: opennet.ru