Arturo Borrero, một nhà phát triển Debian là thành viên của Netfilter Project Coreteam và là người duy trì các gói liên quan đến nftables, iptables và netfilter trên Debian, chuyển bản phát hành chính tiếp theo của Debian 11 sang sử dụng nftables theo mặc định. Nếu đề xuất được chấp thuận, các gói có iptables sẽ được chuyển xuống danh mục tùy chọn tùy chọn không có trong gói cơ bản.
Bộ lọc gói Nftables đáng chú ý vì nó thống nhất các giao diện lọc gói cho IPv4, IPv6, ARP và cầu nối mạng. Nftables chỉ cung cấp giao diện chung, độc lập với giao thức ở cấp hạt nhân, cung cấp các chức năng cơ bản để trích xuất dữ liệu từ các gói, thực hiện các thao tác dữ liệu và kiểm soát luồng. Bản thân logic lọc và các trình xử lý dành riêng cho giao thức được biên dịch thành mã byte trong không gian người dùng, sau đó mã byte này được tải vào kernel bằng giao diện Netlink và được thực thi trong một máy ảo đặc biệt gợi nhớ đến BPF (Bộ lọc gói Berkeley).
Theo mặc định, Debian 11 cũng cung cấp tường lửa tường lửa động, được thiết kế như một trình bao bọc bên trên nftables. Tường lửa chạy như một quy trình nền cho phép bạn thay đổi linh hoạt các quy tắc lọc gói thông qua DBus mà không cần phải tải lại các quy tắc lọc gói hoặc phá vỡ các kết nối đã thiết lập. Để quản lý tường lửa, tiện ích tường lửa-cmd được sử dụng, tiện ích này khi tạo quy tắc không dựa trên địa chỉ IP, giao diện mạng và số cổng mà dựa trên tên của các dịch vụ (ví dụ: để mở quyền truy cập vào SSH, bạn cần phải chạy “firewall-cmd —add —service= ssh”, để đóng SSH – “firewall-cmd –remove –service=ssh”).
Nguồn: opennet.ru