Arturo Borrero,一名 Debian 開發人員,Netfilter 專案核心團隊的成員,也是 Debian 上 nftables、iptables 和 netfilter 相關軟體包的維護者, 將 Debian 11 的下一個主要版本移至預設使用 nftables。 如果該提案獲得批准,則帶有 iptables 的軟體包將被歸類為基本軟體包中不包含的選用選項。
Nftables 封包過濾器因其統一了 IPv4、IPv6、ARP 和橋接器的封包過濾介面而聞名。 Nftables 僅在核心層級提供通用的、與協定無關的接口,提供從資料包中提取資料、執行資料操作和流量控制的基本功能。 過濾邏輯本身和特定於協定的處理程序在使用者空間中編譯為字節碼,然後使用Netlink 介面將該字節碼載入到核心中,並在特殊的虛擬機器(例如BPF(伯克利資料包過濾器) )中執行。
預設情況下,Debian 11 還提供動態防火牆firewalld,設計為 nftables 之上的包裝器。 Firewalld 作為後台程序運行,可讓您透過 DBus 動態變更封包過濾規則,而無需重新載入封包過濾規則或中斷已建立的連線。 要管理防火牆,請使用firewall-cmd實用程序,該實用程式在建立規則時不是基於IP位址、網路介面和連接埠號,而是基於服務名稱(例如,要開放對SSH的訪問,您需要執行「firewall -cmd —add —service=ssh”,關閉SSH –“firewall-cmd –remove –service=ssh”)。
來源: opennet.ru