Arturo Borrero, Netfilter Project Coreteam loyihasining bir qismi bo'lgan Debian dasturchisi va Debian'da nftables, iptables va netfilter bilan bog'liq paketlarni ta'minlovchi, sukut bo'yicha nftables-dan foydalanish uchun Debian 11-ning keyingi asosiy versiyasini ko'chiring. Agar taklif ma'qullansa, iptablesli paketlar asosiy paketga kiritilmagan ixtiyoriy variantlar toifasiga o'tkaziladi.
Nftables paket filtri IPv4, IPv6, ARP va tarmoq ko'priklari uchun paketlarni filtrlash interfeyslarini birlashtirishi bilan ajralib turadi. Nftables paketlardan ma'lumotlarni olish, ma'lumotlar operatsiyalarini bajarish va oqimlarni boshqarish uchun asosiy funktsiyalarni ta'minlovchi yadro darajasida faqat umumiy, protokoldan mustaqil interfeysni taqdim etadi. Filtrlash mantig'ining o'zi va protokolga xos ishlov beruvchilar foydalanuvchi maydonida bayt-kodga kompilyatsiya qilinadi, shundan so'ng bu bayt kod Netlink interfeysi yordamida yadroga yuklanadi va BPF (Berkeley Packet Filters) ni eslatuvchi maxsus virtual mashinada bajariladi.
Odatiy bo'lib, Debian 11 shuningdek, nftables-ning ustiga o'ram sifatida ishlab chiqilgan dinamik xavfsizlik devori xavfsizlik devorini taklif qiladi. Xavfsizlik devori paket filtri qoidalarini qayta yuklamasdan yoki o'rnatilgan ulanishlarni buzmasdan DBus orqali paketlarni filtrlash qoidalarini dinamik ravishda o'zgartirish imkonini beruvchi fon jarayoni sifatida ishlaydi. Xavfsizlik devorini boshqarish uchun xavfsizlik devori-cmd yordam dasturidan foydalaniladi, u qoidalarni yaratishda IP-manzillar, tarmoq interfeyslari va port raqamlariga emas, balki xizmatlar nomlariga asoslanadi (masalan, SSH-ga kirishni ochish uchun siz SSH-ni yopish uchun "xavfsizlik devori-cmd -add -service= ssh" ni ishga tushiring - "firewall-cmd -remove -service=ssh").
Manba: opennet.ru