Arturo Borrero,一名 Debian 开发人员,Netfilter 项目核心团队的成员,也是 Debian 上 nftables、iptables 和 netfilter 相关软件包的维护者, 将 Debian 11 的下一个主要版本移至默认使用 nftables。 如果该提案获得批准,带有 iptables 的软件包将被归入基本软件包中不包含的可选选项类别。
Nftables 数据包过滤器因其统一了 IPv4、IPv6、ARP 和网桥的数据包过滤接口而闻名。 Nftables 仅在内核级别提供通用的、与协议无关的接口,提供从数据包中提取数据、执行数据操作和流量控制的基本功能。 过滤逻辑本身和特定于协议的处理程序在用户空间中编译为字节码,然后使用 Netlink 接口将该字节码加载到内核中,并在特殊的虚拟机(例如 BPF(伯克利数据包过滤器))中执行。
默认情况下,Debian 11 还提供动态防火墙firewalld,设计为 nftables 之上的包装器。 Firewalld 作为后台进程运行,允许您通过 DBus 动态更改数据包过滤规则,而无需重新加载数据包过滤规则或中断已建立的连接。 要管理防火墙,请使用firewall-cmd实用程序,该实用程序在创建规则时不是基于IP地址、网络接口和端口号,而是基于服务名称(例如,要开放对SSH的访问,您需要运行“firewall-cmd —add —service=ssh”,关闭SSH –“firewall-cmd –remove –service=ssh”)。
来源: opennet.ru