nftables и firewalld предлагают внедрить по умолчанию в Debian 11

debian
nftables и firewalld по умолчанию в Debian 11

Cопровождающий в Debian пакеты, связанные с nftables, iptables и netfilter разработчик Артуро Борреро из coreteam проекта Netfilter предложил перевести следующий выпуск дистрибутива Debian 11 на использование nftables по умолчанию. Если с ним согласятся, пакеты с iptables переведут в  необязательные опции вне базовой поставки.

Пакетный фильтр Nftables унифицирует интерфейсы фильтрации пакетов для IPv4, IPv6, ARP и сетевых мостов. На уровне ядра Nftables даёт независимый от конкретного протокола интерфейс, который даёт извлекать данные из пакетов, выполнять операции с данными и управлять потоком. Логика фильтрации и обработчики протоколов компилируются в байткод в пространстве пользователя, после чего байткод загружается в ядро через интерфейс Netlink и выполняется в виртуальной машине, напоминающей BPF (Berkeley Packet Filters).

В Debian 11 Борреро предлагает использовать оформленный как обвязка поверх nftables динамический межсетевой экран firewalld. Firewalld запускается как фоновый процесса и даёт динамически изменять правила пакетного фильтра через DBus. С Firewalld не нужно перезагружать правила пакетного фильтра и разрывать соединения. Для управления межсетевым экраном используется утилита firewall-cmd, которая при создании правил отталкивается от названий служб. Например, для открытия доступа к SSH нужно выполнить “firewall-cmd –add –service=ssh”, для закрытия SSH – “firewall-cmd –remove –service=ssh”.

Авторские курсы в учебном центре IT Education Center

Залишити відповідь

Відповідь на коментар

Коментарі (1)

    Дякуємо, що поділились