В документации Gufw используется ложный оператор
Gufw - это интерфейс с графическим интерфейсом для iptables. На главном экране Gufw, в разделе FAQ в «Приступая к работе», можно найти пару вопрос-ответ:
Почему Gufw по умолчанию отключен? По умолчанию брандмауэр не открывает порты для внешнего мира
, но по умолчанию iptables настроен на разрешить весь трафик . См. Первый абзац на веб-сайте Ubuntu IptablesHowto . См. Также раздел «Базовое программное обеспечение для управления сетевым трафиком» в DebianFirewall . Эти ссылки являются доказательством того, что весь трафик разрешен по умолчанию. Таким образом, невозможно сказать, что «по умолчанию нет открытых портов».
Следующая ссылка также кое-что говорит об этом, но ответы были больше похожи на личное мнение: форум askubuntu
Если популярный бесплатный а программное обеспечение с открытым исходным кодом использует неверное утверждение, мы должны разобраться в этом вопросе.
2 ответа
Здесь есть некоторая путаница, поэтому я дам вам лучшее утверждение.
По умолчанию, UFW отключен в новой установке Ubuntu. Таким образом, по умолчанию правила iptables настроены на Разрешить все, вход и выход.
Когда вы включаете UFW, среди прочего, он разрешает входящий трафик, связанный с исходящим трафиком - поэтому, если вы собираетесь на веб-сайт он будет принимать ответный трафик СВЯЗАННЫЙ с соединением УСТАНОВЛЕННОЕ . (в терминологии iptables ).
Однако , когда он включен, набор правил UFW по умолчанию, если не настроено иное, устанавливается на DROP входящий трафик по умолчанию, если правило
Второй компонент заключается в том, что по умолчанию нет «работающих» доступных сервисов, ожидающих внешних подключений, что, в свою очередь, приводит к ответам «отказано в соединении» на запросы на подключение.
Следовательно , когда вы устанавливаете туда новую коробку Ubuntu '
В этом утверждении нет ничего неправильного. Когда вы устанавливаете Ubuntu, по умолчанию нет открытых для всего мира портов. Да, любой может войти. Но нет двери, чтобы войти внутрь:
Теперь, если вы сами устанавливаете какую-то службу и перечисляете входящий трафик, скажите что-то вроде ssh-сервера или NFS, теперь есть открытая дверь :
Теперь вам нужно установить правильный механизм (настроить брандмауэр), чтобы решить, кто может войти, а кто нет.
Фотографии были собраны из здесь .