nftables и firewalld предлагают внедрить по умолчанию в Debian 11

Cопровождающий в Debian пакеты, связанные с nftables, iptables и netfilter разработчик Артуро Борреро из coreteam проекта Netfilter предложил перевести следующий выпуск дистрибутива Debian 11 на использование nftables по умолчанию. Если с ним согласятся, пакеты с iptables переведут в  необязательные опции вне базовой поставки.

Пакетный фильтр Nftables унифицирует интерфейсы фильтрации пакетов для IPv4, IPv6, ARP и сетевых мостов. На уровне ядра Nftables даёт независимый от конкретного протокола интерфейс, который даёт извлекать данные из пакетов, выполнять операции с данными и управлять потоком. Логика фильтрации и обработчики протоколов компилируются в байткод в пространстве пользователя, после чего байткод загружается в ядро через интерфейс Netlink и выполняется в виртуальной машине, напоминающей BPF (Berkeley Packet Filters).

В Debian 11 Борреро предлагает использовать оформленный как обвязка поверх nftables динамический межсетевой экран firewalld. Firewalld запускается как фоновый процесса и даёт динамически изменять правила пакетного фильтра через DBus. С Firewalld не нужно перезагружать правила пакетного фильтра и разрывать соединения. Для управления межсетевым экраном используется утилита firewall-cmd, которая при создании правил отталкивается от названий служб. Например, для открытия доступа к SSH нужно выполнить «firewall-cmd —add —service=ssh», для закрытия SSH — «firewall-cmd —remove —service=ssh».

  1 comment for “nftables и firewalld предлагают внедрить по умолчанию в Debian 11

  1. Alexander
    22.10.2019 at 11:54

    Дистр Debian должен оставаться строг к включению различного дополнительного ПО, люто минусую добавление firewalld в Debian, кому нужен firewalld пусть шаманят сами или играются с ним на Centos7, а что касается Debian, то там всегда хватало классического iptables.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *