Предположим:
(NB: обратите внимание на слово рабочий стол , поэтому любые ссылки на сервер не будут иметь отношения к вопросу и, следовательно, неуместны)
и после некоторых исследований по в этой теме я так понимаю:
a. Является ли ufw «инструментом настройки» брандмауэра по умолчанию для Ubuntu? (обратите внимание, что в нем говорится, что инструмент настройки, а не сам брандмауэр) и ufw установлен, но он не работает и вообще не настроен, поэтому для него нет стандартных правил, установленных из коробки.
б. Gufw - это пользовательский интерфейс для ufw, но он не установлен по умолчанию, по крайней мере, так обстоит дело с Ubuntu Desktop 18.04 LTS.
с. iptables - это фактический межсетевой экран, встроенный в ядро как модуль.
На данный момент я знаю, что могу настроить ufw, так как это просто, как abc, отсюда и его название, и чтобы использовать его в качестве отправной точки, вам нужно установить deny (входящий), allow (исходящий) и запустить его, я также понимаю Я мог бы использовать Gufw и для этого. Так что я мог просто оставить это там и сделать именно это.
Однако, после всех моих исследований, я нахожу множество статей, вопросов и блогов по этой теме с множеством взглядов и мнений, многие из которых утверждают, что вам не нужен брандмауэр, нет открытых портов, но я думаю, конечно некоторые порты должны открываться при подключении к Интернету? Это означает, что я подключаю свое устройство к сети и открываю двустороннее соединение для трафика, но вся информация, которую я прочитал, служит только для того, чтобы сделать ее неясной и неоднозначной, поэтому я перевариваю всю эту информацию и пытаюсь понять ее, а затем уменьшаю все сводится к одному утверждению, и вкратце я резюмирую:
Пользователи настольных компьютеров Ubuntu не нуждаются в ufw, поскольку это просто инструмент настройки для iptables, который фактически является внутренним межсетевым экраном.
Итак, скажем, я понимаю приведенное выше утверждение буквально, тогда верно ли следующее утверждение?:
iptables - это встроенный брандмауэр для рабочего стола Ubuntu, полностью настроенный, готовый к работе и работающий прямо из коробки с правилами по умолчанию, которых достаточно безопасен для обычного пользователя настольного компьютера.
Потому что, если вышесказанное верно, то какой смысл в ufw, кроме как предоставить несложный интерфейс для iptables, который по всем учетным записям является сложным, и, кроме того, эксперты советуют вам избегать настройки iptables напрямую, поскольку если вы этого не сделаете точно знаете, что делаете, вы можете легко сделать свою систему небезопасной или непригодной для использования, если она неправильно настроена?
Вот nmap сканирование моей системы вместе с моей конфигурацией брандмауэра, показывающее открытые порты на моя система:
Пожалуйста, не могли бы вы дать краткий, актуальный и не основанный на мнении ответ, основанный на фактах :)
Вопрос значительно изменяется
Вопрос о ЗАГОЛОВКЕ
Как новый рабочий стол Ubuntu 18.04 пользователей LTS, сделайте я должен использовать
ufw
для брандмауэра или iptables достаточный?
Большинство домашних пользователей Ubuntu не должно или использование ufw
. Оба ufw
и iptables
установлены по умолчанию и настроены, чтобы ничего не сделать. То, почему нет никакой потребности, объяснено более подробно ниже.
Другой вопрос 1:
Поэтому скажите, что я беру вышеупомянутый оператор буквально, затем действительно ли следующее утверждение верно?:
iptables является созданным в брандмауэре для Рабочего стола Ubuntu и полностью настроен и и исчерпывание поля с правилами по умолчанию, которые достаточно безопасны для среднего настольного пользователя, а именно, отрицают (поступать), позволяют (исходить).
Оператор является на самом деле двумя операторами, к которым присоединяются и. Таким образом, если всего одна часть целого оператора является ложью, то целый оператор является ложью. Давайте сломаем его:
iptables
созданный в брандмауэре для Рабочего стола Ubuntu
Теперь давайте посмотрим на другую часть:
iptables
полностью настроен и и исчерпывание поля с правилами по умолчанию, которые достаточно безопасны для среднего настольного пользователя, а именно, отрицают (поступать), позволяют (исходить).
Настольная установка Ubuntu по умолчанию не имеет никаких открытых портов, и никакое выполнение серверов. Поэтому даже при том, что iptables
приезжайте установленные по умолчанию в настольную Ubuntu, она не настроена, чтобы сделать что-либо. Таким образом, брандмауэр по умолчанию не имеет набора правил.
Таким образом, iptable
настроен, чтобы ничего не сделать, когда Вы устанавливаете Ubuntu.
Другой вопрос 2:
Ваш nmap показывает, что эти только два открытых порта открыты для 127.0.0.1. Это - специальный IP-адрес, который относится к самому компьютеру. Таким образом, сам компьютер может говорить с собой с помощью этих двух открытых портов.
gufw
снимок экрана показывает, что нет никакой установки правил брандмауэра. Однако, так как Вы установили gufw
и нажатый это, ufw
также установлен (gufw, использует ufw), и ufw активен. Значение по умолчанию ufw конфигурация, которую Вы упомянули выше, отрицайте (поступать) и позвольте (исходить), работает. Однако эти правила не относятся к самому компьютеру, который является 127.0.0.1. Это (не необходимо, но) достаточный для домашнего пользователя.
Настольная установка Ubuntu по умолчанию не имеет никаких открытых портов, и никакое выполнение серверов. Поэтому, если Вы не выполняете демона сервера, такого как сервер ssh, Вам не нужен никакой брандмауэр. Таким образом, iptable настроен, чтобы ничего не сделать, когда Вы устанавливаете Ubuntu. Посмотрите, что я должен активировать брандмауэр? Я только использую Ubuntu для домашнего настольного использования? для деталей.
Если Вы не средний домашний пользователь и хотите сделать, некоторые усовершенствованные вещи, такой как удаленно получают доступ к Вашему рабочему столу ssh или выполняют некоторые другие сервисы, то Вам нужен брандмауэр. Ваша конфигурация брандмауэра будет зависеть, на которых демонах сервера Вы планируете работать.
Даже если Вы не планируете выполнить сервер, из которого можно хотеть брандмауэр с конфигурацией по умолчанию, отклоняют все входящие соединения от всех портов. Это должно быть вдвойне безопасно, в случае, если, однажды Вы хотите установить и выполнить сервер, не понимая то, что Вы делаете. Не изменяя конфигурацию брандмауэра по умолчанию сервер не будет работать как ожидалось. Вы будете царапать голову в течение многих часов прежде, чем помнить активацию брандмауэра. Затем можно хотеть удалить программное обеспечение сервера, поскольку это не может стоить риска. Или можно хотеть настроить брандмауэр, чтобы позволить серверу работать.
gufw
является самым легкимgufw является графическим интерфейсом для ufw
, который в свою очередь настраивает iptables
. Так как Вы использовали Linux с 1990-х, можно быть довольны командной строкой, или можно предпочесть визуальные индикаторы GUI. Если Вам нравится GUI, то используйте gufw
. Легко понять и настроить даже для новичка.
ufw
легкоЕсли Вам нравится командная строка, ufw
достаточно легко.
iptables
не так легкоПричина мы не хотим, чтобы любой играл непосредственно с iptables и использованием ufw
или gufw
то, потому что, очень легко испортить iptables
и после того как Вы делаете, система может повредиться так плохо, что это может быть неприменимо. iptables-apply
команда имеет некоторые встроенные гарантии для защиты пользователей от их ошибок.
Надеюсь, это поможет
iptables является частью сетевого стека TCP/IP. Если Вы имеете *, Отклоняют Вас, имеют IPTABLES. Если Вы находитесь в сети IP, брандмауэр включил или отключил, Вы используете iptables, независимо.
ufw *, Отклоняют приложение сверху (значение использования iptables). Это - базирующаяся консоль оболочки, но не так трудно использовать. Это может быть превращено включения - выключения. Вы не можете отключить iptables, поскольку должны быть маршруты по умолчанию для Интернета (0.0.0.0), локальная обратная петля (127.0.0.0), localhost (192.168.0.0) и автообращение (169.254.0.0). Как Вы видите, iptables испекся в сетевой стек. Вы не можете избежать его, даже если Вы хотели.
ufw может изменить iptables записи в матрице от комфорта консоли оболочки. Возможно отредактировать iptables маршруты IP вручную, но я не рекомендую это, поскольку это подвержено ошибкам в лучшем случае Думайте о ufw как об инструменте для редактирования таблиц маршрутизации IP.
Удобный, как я могу быть с консолью оболочки, я все еще рекомендую простоту gufw, который является графической "оберткой" для ufw, который находится на iptables.
Я люблю его простоту, особенно добавляющую профили брандмауэра приложений, такие как медиасерверы или bittorrent приложения. То, независимо от того, что делает мою жизнь легче, зарабатывает мою престижность.
Таким образом для ответа на измененный вопрос IPTABLES не защитит сеть, если оставлено в покое отдельно. Это не разработано, чтобы заблокировать, отфильтровать, отключить или позволить определенные порты, который пересекает таблицы маршрутизации IP. Используйте ufw + gufw, если Вы хотите только позволять/блокировать определенные порты или диапазон портов, которые в свою очередь динамично редактируют таблицу маршрутизации IP.
Я предоставляю этот ответ сам, так как я не был убежден людьми, которые настаивают, чтобы Вам не был нужен брандмауэр, у Вас нет открытых портов... и меня метка привычки, которую он принял, хотя я принимаю его сам, я предоставлю сообществу право голосовать по тому, должно ли это быть ответом.
Все, что я сказал бы любому использующему Рабочий стол Ubuntu, кто сталкивается с этим вопросом, если Вы не уверены в брандмауэре, потому что как я, Вы лично убедились, является таким количеством конфликтующих представлений об этом предмете, затем мой совет является просто разрешением, и используйте брандмауэр, я рекомендую ufw и если Вы хотите UI, затем используют Gufw, потому что то, когда все сказано и сделано, даже если все это делает, дают Вам часть ума, можно не причинить вреда в использовании его.
Я в конечном счете обратился к официальной документации Ubuntu для разъяснения и нашел следующую статью и после моего опыта, пытающегося найти ответы, я рекомендую прочитать эту статью, потому что это имеет большой смысл, и это отвечает на мой вопрос и sub вопросы, и я думаю, что собираюсь быть OK теперь ;)
https://help.ubuntu.com/community/DoINeedAFirewall
Вот отрывок из вышеупомянутой статьи:
У меня нет открытых портов, таким образом, мне не нужен брандмауэр, правильно?
Ну, не действительно. Это - распространенное заблуждение. Во-первых, давайте поймем, каков открытый порт на самом деле. Открытый порт является портом, который имеет сервис (как SSH) связанный и слушание его. Когда клиент SSH попытается связаться с сервером SSH, он отправит пакет SYN TCP в порт SSH (22 по умолчанию), и сервер Подтвердит это, таким образом создавая новое соединение. Неправильное представление в том, как брандмауэр может помочь Вам, начинается здесь. Некоторые пользователи предполагают, что, так как Вы не выполняете сервисов, связь не может быть установлена. Таким образом, Вам не нужен брандмауэр. Если бы они были единственными вещами, то необходимо было думать о, это было бы совершенно приемлемо. Однако это - только часть изображения. Существует два дополнительных фактора, которые играют роль там. Один, если Вы не используете брандмауэр на основании, что у Вас нет открытых портов, Вы наносите вред своей собственной безопасности, потому что, если приложение, которое Вы действительно имеете, используется и выполнение кода происходит, новый сокет может быть создан и связан с произвольным портом. Другой важный фактор здесь - то, что, если Вы не используете брандмауэр, Вы также не имеете никакого контроля исходящим трафиком вообще. В связи с использованным приложением, вместо нового создаваемого сокета и связываемый порт, другая альтернатива, которую может использовать взломщик, должна создать обратное соединение назад со злонамеренной машиной. Без любых правил брандмауэра на месте это соединение пройдет беспрепятственный.