Как новый пользователь Ubuntu Desktop 18.04 LTS, мне нужно использовать ufw в качестве брандмауэра или достаточно iptables? [закрыто]

Предположим:

  • Я мало или совсем не знаю о внутренней работе ОС Ubuntu / Linux. . Все, что я знаю, это из моего опыта работы с Windows, это то, что мне нужно настроить и запустить брандмауэр, прежде чем я подключусь к Интернету, иначе моя система была бы такой же безопасной, как если бы вы отправились в отпуск и вышли из дома со всеми дверями и окнами. открытым.
  • Я только что перешел на рабочий стол Ubuntu 18.04 LTS и впервые зашел в систему. Я хочу защитить свою систему перед подключением компьютера к Интернету.

(NB: обратите внимание на слово рабочий стол , поэтому любые ссылки на сервер не будут иметь отношения к вопросу и, следовательно, неуместны)

и после некоторых исследований по в этой теме я так понимаю:

a. Является ли ufw «инструментом настройки» брандмауэра по умолчанию для Ubuntu? (обратите внимание, что в нем говорится, что инструмент настройки, а не сам брандмауэр) и ufw установлен, но он не работает и вообще не настроен, поэтому для него нет стандартных правил, установленных из коробки.

б. Gufw - это пользовательский интерфейс для ufw, но он не установлен по умолчанию, по крайней мере, так обстоит дело с Ubuntu Desktop 18.04 LTS.

с. iptables - это фактический межсетевой экран, встроенный в ядро ​​как модуль.

На данный момент я знаю, что могу настроить ufw, так как это просто, как abc, отсюда и его название, и чтобы использовать его в качестве отправной точки, вам нужно установить deny (входящий), allow (исходящий) и запустить его, я также понимаю Я мог бы использовать Gufw и для этого. Так что я мог просто оставить это там и сделать именно это.

Однако, после всех моих исследований, я нахожу множество статей, вопросов и блогов по этой теме с множеством взглядов и мнений, многие из которых утверждают, что вам не нужен брандмауэр, нет открытых портов, но я думаю, конечно некоторые порты должны открываться при подключении к Интернету? Это означает, что я подключаю свое устройство к сети и открываю двустороннее соединение для трафика, но вся информация, которую я прочитал, служит только для того, чтобы сделать ее неясной и неоднозначной, поэтому я перевариваю всю эту информацию и пытаюсь понять ее, а затем уменьшаю все сводится к одному утверждению, и вкратце я резюмирую:

Пользователи настольных компьютеров Ubuntu не нуждаются в ufw, поскольку это просто инструмент настройки для iptables, который фактически является внутренним межсетевым экраном.

Итак, скажем, я понимаю приведенное выше утверждение буквально, тогда верно ли следующее утверждение?:

iptables - это встроенный брандмауэр для рабочего стола Ubuntu, полностью настроенный, готовый к работе и работающий прямо из коробки с правилами по умолчанию, которых достаточно безопасен для обычного пользователя настольного компьютера.

Потому что, если вышесказанное верно, то какой смысл в ufw, кроме как предоставить несложный интерфейс для iptables, который по всем учетным записям является сложным, и, кроме того, эксперты советуют вам избегать настройки iptables напрямую, поскольку если вы этого не сделаете точно знаете, что делаете, вы можете легко сделать свою систему небезопасной или непригодной для использования, если она неправильно настроена?

Вот nmap сканирование моей системы вместе с моей конфигурацией брандмауэра, показывающее открытые порты на моя система: enter image description here

Пожалуйста, не могли бы вы дать краткий, актуальный и не основанный на мнении ответ, основанный на фактах :)

12
задан 20 March 2019 в 10:53

3 ответа

Вопрос значительно изменяется

Новый ответ

Вопрос о ЗАГОЛОВКЕ

Как новый рабочий стол Ubuntu 18.04 пользователей LTS, сделайте я должен использовать ufw для брандмауэра или iptables достаточный?

Большинство домашних пользователей Ubuntu не должно или использование ufw. Оба ufw и iptables установлены по умолчанию и настроены, чтобы ничего не сделать. То, почему нет никакой потребности, объяснено более подробно ниже.

Другой вопрос 1:

Поэтому скажите, что я беру вышеупомянутый оператор буквально, затем действительно ли следующее утверждение верно?:

iptables является созданным в брандмауэре для Рабочего стола Ubuntu и полностью настроен и и исчерпывание поля с правилами по умолчанию, которые достаточно безопасны для среднего настольного пользователя, а именно, отрицают (поступать), позволяют (исходить).

Оператор является ложью

Оператор является на самом деле двумя операторами, к которым присоединяются и. Таким образом, если всего одна часть целого оператора является ложью, то целый оператор является ложью. Давайте сломаем его:

iptables созданный в брандмауэре для Рабочего стола Ubuntu

Вышеупомянутая часть верна.

Теперь давайте посмотрим на другую часть:

iptables полностью настроен и и исчерпывание поля с правилами по умолчанию, которые достаточно безопасны для среднего настольного пользователя, а именно, отрицают (поступать), позволяют (исходить).

Вышеупомянутая часть является ложью.

Настольная установка Ubuntu по умолчанию не имеет никаких открытых портов, и никакое выполнение серверов. Поэтому даже при том, что iptables приезжайте установленные по умолчанию в настольную Ubuntu, она не настроена, чтобы сделать что-либо. Таким образом, брандмауэр по умолчанию не имеет набора правил.

Таким образом, iptable настроен, чтобы ничего не сделать, когда Вы устанавливаете Ubuntu.

Другой вопрос 2:

Объяснения nmap и изображения gufw (я думаю, что это - то, что Вы хотите),

Ваш nmap показывает, что эти только два открытых порта открыты для 127.0.0.1. Это - специальный IP-адрес, который относится к самому компьютеру. Таким образом, сам компьютер может говорить с собой с помощью этих двух открытых портов.

gufw снимок экрана показывает, что нет никакой установки правил брандмауэра. Однако, так как Вы установили gufw и нажатый это, ufw также установлен (gufw, использует ufw), и ufw активен. Значение по умолчанию ufw конфигурация, которую Вы упомянули выше, отрицайте (поступать) и позвольте (исходить), работает. Однако эти правила не относятся к самому компьютеру, который является 127.0.0.1. Это (не необходимо, но) достаточный для домашнего пользователя.

Исходный Ответ ==>

Средним домашним пользователям не нужен брандмауэр

Настольная установка Ubuntu по умолчанию не имеет никаких открытых портов, и никакое выполнение серверов. Поэтому, если Вы не выполняете демона сервера, такого как сервер ssh, Вам не нужен никакой брандмауэр. Таким образом, iptable настроен, чтобы ничего не сделать, когда Вы устанавливаете Ubuntu. Посмотрите, что я должен активировать брандмауэр? Я только использую Ubuntu для домашнего настольного использования? для деталей.

При выполнении серверов, Вам нужен брандмауэр

Если Вы не средний домашний пользователь и хотите сделать, некоторые усовершенствованные вещи, такой как удаленно получают доступ к Вашему рабочему столу ssh или выполняют некоторые другие сервисы, то Вам нужен брандмауэр. Ваша конфигурация брандмауэра будет зависеть, на которых демонах сервера Вы планируете работать.

Даже если Вы не планируете выполнить сервер, из которого можно хотеть брандмауэр с конфигурацией по умолчанию, отклоняют все входящие соединения от всех портов. Это должно быть вдвойне безопасно, в случае, если, однажды Вы хотите установить и выполнить сервер, не понимая то, что Вы делаете. Не изменяя конфигурацию брандмауэра по умолчанию сервер не будет работать как ожидалось. Вы будете царапать голову в течение многих часов прежде, чем помнить активацию брандмауэра. Затем можно хотеть удалить программное обеспечение сервера, поскольку это не может стоить риска. Или можно хотеть настроить брандмауэр, чтобы позволить серверу работать.

gufw является самым легким

gufw является графическим интерфейсом для ufw, который в свою очередь настраивает iptables. Так как Вы использовали Linux с 1990-х, можно быть довольны командной строкой, или можно предпочесть визуальные индикаторы GUI. Если Вам нравится GUI, то используйте gufw. Легко понять и настроить даже для новичка.

ufw легко

Если Вам нравится командная строка, ufw достаточно легко.

iptables не так легко

Причина мы не хотим, чтобы любой играл непосредственно с iptables и использованием ufw или gufw то, потому что, очень легко испортить iptables и после того как Вы делаете, система может повредиться так плохо, что это может быть неприменимо. iptables-apply команда имеет некоторые встроенные гарантии для защиты пользователей от их ошибок.

Надеюсь, это поможет

14
ответ дан 23 November 2019 в 03:38

iptables является частью сетевого стека TCP/IP. Если Вы имеете *, Отклоняют Вас, имеют IPTABLES. Если Вы находитесь в сети IP, брандмауэр включил или отключил, Вы используете iptables, независимо.

ufw *, Отклоняют приложение сверху (значение использования iptables). Это - базирующаяся консоль оболочки, но не так трудно использовать. Это может быть превращено включения - выключения. Вы не можете отключить iptables, поскольку должны быть маршруты по умолчанию для Интернета (0.0.0.0), локальная обратная петля (127.0.0.0), localhost (192.168.0.0) и автообращение (169.254.0.0). Как Вы видите, iptables испекся в сетевой стек. Вы не можете избежать его, даже если Вы хотели.

ufw может изменить iptables записи в матрице от комфорта консоли оболочки. Возможно отредактировать iptables маршруты IP вручную, но я не рекомендую это, поскольку это подвержено ошибкам в лучшем случае Думайте о ufw как об инструменте для редактирования таблиц маршрутизации IP.

Удобный, как я могу быть с консолью оболочки, я все еще рекомендую простоту gufw, который является графической "оберткой" для ufw, который находится на iptables.

Я люблю его простоту, особенно добавляющую профили брандмауэра приложений, такие как медиасерверы или bittorrent приложения. То, независимо от того, что делает мою жизнь легче, зарабатывает мою престижность.

Таким образом для ответа на измененный вопрос IPTABLES не защитит сеть, если оставлено в покое отдельно. Это не разработано, чтобы заблокировать, отфильтровать, отключить или позволить определенные порты, который пересекает таблицы маршрутизации IP. Используйте ufw + gufw, если Вы хотите только позволять/блокировать определенные порты или диапазон портов, которые в свою очередь динамично редактируют таблицу маршрутизации IP.

1
ответ дан 23 November 2019 в 03:38

Я предоставляю этот ответ сам, так как я не был убежден людьми, которые настаивают, чтобы Вам не был нужен брандмауэр, у Вас нет открытых портов... и меня метка привычки, которую он принял, хотя я принимаю его сам, я предоставлю сообществу право голосовать по тому, должно ли это быть ответом.

Все, что я сказал бы любому использующему Рабочий стол Ubuntu, кто сталкивается с этим вопросом, если Вы не уверены в брандмауэре, потому что как я, Вы лично убедились, является таким количеством конфликтующих представлений об этом предмете, затем мой совет является просто разрешением, и используйте брандмауэр, я рекомендую ufw и если Вы хотите UI, затем используют Gufw, потому что то, когда все сказано и сделано, даже если все это делает, дают Вам часть ума, можно не причинить вреда в использовании его.

Я в конечном счете обратился к официальной документации Ubuntu для разъяснения и нашел следующую статью и после моего опыта, пытающегося найти ответы, я рекомендую прочитать эту статью, потому что это имеет большой смысл, и это отвечает на мой вопрос и sub вопросы, и я думаю, что собираюсь быть OK теперь ;)

https://help.ubuntu.com/community/DoINeedAFirewall

Вот отрывок из вышеупомянутой статьи:

У меня нет открытых портов, таким образом, мне не нужен брандмауэр, правильно?

Ну, не действительно. Это - распространенное заблуждение. Во-первых, давайте поймем, каков открытый порт на самом деле. Открытый порт является портом, который имеет сервис (как SSH) связанный и слушание его. Когда клиент SSH попытается связаться с сервером SSH, он отправит пакет SYN TCP в порт SSH (22 по умолчанию), и сервер Подтвердит это, таким образом создавая новое соединение. Неправильное представление в том, как брандмауэр может помочь Вам, начинается здесь. Некоторые пользователи предполагают, что, так как Вы не выполняете сервисов, связь не может быть установлена. Таким образом, Вам не нужен брандмауэр. Если бы они были единственными вещами, то необходимо было думать о, это было бы совершенно приемлемо. Однако это - только часть изображения. Существует два дополнительных фактора, которые играют роль там. Один, если Вы не используете брандмауэр на основании, что у Вас нет открытых портов, Вы наносите вред своей собственной безопасности, потому что, если приложение, которое Вы действительно имеете, используется и выполнение кода происходит, новый сокет может быть создан и связан с произвольным портом. Другой важный фактор здесь - то, что, если Вы не используете брандмауэр, Вы также не имеете никакого контроля исходящим трафиком вообще. В связи с использованным приложением, вместо нового создаваемого сокета и связываемый порт, другая альтернатива, которую может использовать взломщик, должна создать обратное соединение назад со злонамеренной машиной. Без любых правил брандмауэра на месте это соединение пройдет беспрепятственный.

1
ответ дан 23 November 2019 в 03:38

Другие вопросы по тегам:

Похожие вопросы: