Netfilter Project Coreteam'in bir parçası olan ve Debian'daki nftables, iptables ve netfilter ile ilgili paketlerin bakımını yapan bir Debian geliştiricisi olan Arturo Borrero, Debian 11'in bir sonraki büyük sürümünü varsayılan olarak nftables kullanacak şekilde taşıyın. Teklifin onaylanması durumunda iptables içeren paketler, temel pakette yer almayan opsiyonel seçenekler kategorisine düşecek.
Nftables paket filtresi, IPv4, IPv6, ARP ve ağ köprüleri için paket filtreleme arayüzlerini birleştirmesiyle dikkat çekiyor. Nftables, paketlerden veri çıkarmak, veri işlemlerini gerçekleştirmek ve akış kontrolü için temel işlevleri sağlayan çekirdek düzeyinde yalnızca genel, protokolden bağımsız bir arayüz sağlar. Filtreleme mantığının kendisi ve protokole özgü işleyiciler, kullanıcı alanında bayt kodu halinde derlenir, ardından bu bayt kodu Netlink arayüzü kullanılarak çekirdeğe yüklenir ve BPF'yi (Berkeley Paket Filtreleri) anımsatan özel bir sanal makinede yürütülür.
Varsayılan olarak Debian 11, nftables'ın üzerinde sarmalayıcı olarak tasarlanmış dinamik güvenlik duvarı güvenlik duvarını da sunar. Firewalld, paket filtreleme kurallarını yeniden yüklemenize veya kurulu bağlantıları kesmenize gerek kalmadan DBus aracılığıyla paket filtreleme kurallarını dinamik olarak değiştirmenize olanak tanıyan bir arka plan işlemi olarak çalışır. Güvenlik duvarını yönetmek için, kurallar oluştururken IP adreslerine, ağ arayüzlerine ve bağlantı noktası numaralarına değil, hizmetlerin adlarına (örneğin, SSH'ye erişimi açmak için ihtiyacınız olan) dayanan güvenlik duvarı-cmd yardımcı programı kullanılır. SSH'yi kapatmak için “firewall-cmd —add —service= ssh” komutunu çalıştırın – “firewall-cmd –remove –service=ssh”).
Kaynak: opennet.ru