Артуро Борреро (Arturo Borrero), розробник Debian, що входить до Coreteam проекту Netfilter і супроводжує в Debian пакети, пов'язані з nftables, iptables і netfilter, перекласти наступний значний випуск дистрибутива Debian 11 на використання nftables за замовчуванням. У разі затвердження пропозиції пакети з iptables будуть переведені до розряду необов'язкових опцій, що не входять до базової поставки.
Пакетний фільтр Nftables примітний уніфікацією інтерфейсів фільтрації пакетів для IPv4, IPv6, ARP та мережевих мостів. Nftables надає лише на рівні ядра загальний інтерфейс, який залежить від конкретного протоколу і надає базові функції вилучення даних з пакетів, виконання операцій із даними і управління потоком. Безпосередньо логіка фільтрації та специфічні для протоколів обробники компілюються в байткод у просторі користувача, після чого даний байткод завантажується в ядро за допомогою інтерфейсу Netlink та виконується у спеціальній віртуальній машині, що нагадує BPF (Berkeley Packet Filters).
За замовчуванням у Debian 11 також пропонується задіяти динамічний міжмережевий екран firewalld, оформлений як обв'язування поверх nftables. Firewalld запускається у вигляді фонового процесу, що дозволяє динамічно змінювати правила пакетного фільтра через DBus без необхідності перезавантаження правил пакетного фільтра і без розриву встановлених з'єднань. Для керування міжмережевим екраном використовується утиліта firewall-cmd, яка при створенні правил відштовхується не від IP-адрес, мережевих інтерфейсів та номерів портів, а від назв служб (наприклад, для відкриття доступу до SSH потрібно виконати firewall-cmd -add -service= ssh», для закриття SSH - "firewall-cmd - remove -service = ssh").
Джерело: opennet.ru