nftables и firewalld предлагают внедрить по умолчанию в Debian 11

Cопровождающий в Debian пакеты, связанные с nftables, iptables и netfilter разработчик Артуро Борреро из coreteam проекта Netfilter предложил перевести следующий выпуск дистрибутива Debian 11 на использование nftables по умолчанию. Если с ним согласятся, пакеты с iptables переведут в  необязательные опции вне базовой поставки.

Пакетный фильтр Nftables унифицирует интерфейсы фильтрации пакетов для IPv4, IPv6, ARP и сетевых мостов. На уровне ядра Nftables даёт независимый от конкретного протокола интерфейс, который даёт извлекать данные из пакетов, выполнять операции с данными и управлять потоком. Логика фильтрации и обработчики протоколов компилируются в байткод в пространстве пользователя, после чего байткод загружается в ядро через интерфейс Netlink и выполняется в виртуальной машине, напоминающей BPF (Berkeley Packet Filters).

В Debian 11 Борреро предлагает использовать оформленный как обвязка поверх nftables динамический межсетевой экран firewalld. Firewalld запускается как фоновый процесса и даёт динамически изменять правила пакетного фильтра через DBus. С Firewalld не нужно перезагружать правила пакетного фильтра и разрывать соединения. Для управления межсетевым экраном используется утилита firewall-cmd, которая при создании правил отталкивается от названий служб. Например, для открытия доступа к SSH нужно выполнить «firewall-cmd —add —service=ssh», для закрытия SSH — «firewall-cmd —remove —service=ssh».

Добавить комментарий

Ответ на комментарий

Комментарии (1)

    Спасибо, что поделились