Чи потрібно мені користувачеві Ubuntu настільних пристроїв 18.04 LTS використовувати ufw для брандмауера чи достатньо iptables? [зачинено]


12

Припустимо:

  • Я мало знаю або взагалі не знаю про внутрішню роботу ОС Ubuntu / Linux. Все, що я знаю, з мого досвіду Windows, - це те, що я маю налаштувати брандмауер та працювати перед тим, як підключитися до Інтернету, інакше моя система була б настільки ж безпечною, як і у відпустку, і покидаю будинок зі всіма дверима та вікнами відчинено.
  • Я щойно перейшов на робочий стіл Ubuntu 18.04 LTS і вперше увійшов до системи. Я хочу захистити свою систему, перш ніж підключити ПК до Інтернету.

(Примітка. Зверніть увагу на наголос на слові " робочий стіл" , тому будь-які посилання на сервер не стосуватимуться питання і тому не мають значення)

і після деяких досліджень з цього приводу я дуже розумію це:

а. Чи ufw стандартний брандмауер "інструмент конфігурації" для Ubuntu? (зауважте, він каже, що інструмент конфігурації, а не фактичний брандмауер) та ufw встановлений, але він не запущений і не налаштований зовсім, тому для нього не встановлені правила за замовчуванням.

б. Gufw - це інтерфейс для ufw, але він не встановлений за замовчуванням, або, принаймні, це стосується Ubuntu Desktop 18.04 LTS.

c. iptables - це фактичний брандмауер, який вбудований у ядро ​​як модуль.

На даний момент я знаю, що я можу налаштувати ufw так просто, як abc, звідси його ім'я та використовувати його, як вихідну точку, потрібно встановити заперечення (вхід), дозволити (вихідний) та почати його, я також розумію, що міг би використовувати Gufw зробити це теж. Тож я міг просто залишити його там і зробити саме це.

Однак, після всіх моїх досліджень, я знаходжу багато статей, запитань та блогів на цю тему з багатьма думками та думками, багато з яких стверджують, що вам не потрібен брандмауер, немає відкритих портів, але я думаю, безумовно, деякі порти повинні відкрити, коли я підключаюся до Інтернету? це означає, що я підключаю свій пристрій до мережі та відкриваю двосторонній зв’язок трафіку, але вся інформація, яку я прочитав, служить лише для того, щоб зробити цю незрозумілою та неоднозначною, тому я перетравлюю всю цю інформацію і намагаюся зрозуміти її, а потім зменшити це зводиться до одного твердження, і ось коротко кажучи:

Користувачам настільних комп'ютерів Ubuntu не потрібен ufw, оскільки це лише інструмент налаштування iptables, який є фактичним брандмауером під кришкою.

Отже, скажіть, я розумію вищезгадане твердження буквально, то чи відповідає наступне твердження ?:

iptables - це вбудований брандмауер для Ubuntu Desktop. Він повністю налаштований та працює та працює з коробкою з типовими правилами, які є достатньо безпечними для середнього користувача робочого столу.

Тому що, якщо вищезазначене відповідає дійсності, то який би був сенс у ufw, крім того, щоб забезпечити нескладний інтерфейс до iptables, що з усіх облікових записів є складним. ви це робите, ви могли б легко зробити вашу систему незахищеною або непридатною для використання, якщо вона неправильно налаштована?

Ось сканування nmap моєї системи разом із конфігурацією брандмауера, що показує відкриті порти в моїй системі: введіть тут опис зображення

Будь-ласка, будь ласка, хтось може надати стислу, релевантну та не-думку, відповідь на основі фактів :)


Найпростіше встановити gufwдля сприяння налаштуванню.
heynnema

Що незрозумілого в цьому? askubuntu.com/questions/178616/…
Pilot6

Вам не потрібен БІЛЬКИЙ брандмауер, якщо у вас немає мережевих служб. Тож не має значення, як і що налаштовано.
Пілот6

1
Я доповнив свою відповідь. На даний момент я маю нагадати вам, що це веб-сайт з питаннями, а не форум. Будь ласка, не додайте нових компонентів до питання, коли я відповідаю на старі. Якщо ви продовжуєте це робити, питання може бути закритим як занадто широким. Задайте нове подальше запитання та зверніться до цього питання, якщо вам це потрібно.
user68186

Я розчарований, бачачи, що це питання було відкладено на основі презумпції, що "відповіді на це питання, як правило, базуються майже на думках, а не на фактах", хіба це не лише інша думка? Ось чому я заявив, коли я задав питання, щоб надати відповідь, що не базується на фактах, тож, на що ви говорите, чи не існує остаточної відповіді, заснованої на фактах? Я думаю, відповідь з офіційної документації на ubuntu також не базується на фактах? Це запитання набрало 630 переглядів, так що очевидно, що багато людей зацікавлені у відповіді!

Відповіді:


14

Питання значно змінилося

Нова відповідь

ЗАПИТАННЯ ЗАПИС

Чи потрібно мені, як новому користувачеві Ubuntu настільних пристроїв 18.04 LTS, користуватися ufwбрандмауером чи достатньо iptables?

Більшість домашніх користувачів Ubuntu не потрібно або використовувати ufw. Обидва ufwі iptablesвстановлюються за замовчуванням і налаштоване не робити нічого. Чому немає необхідності, пояснюється більш докладно нижче.

Інше питання 1:

Отже, скажіть, я розумію вищезгадане твердження буквально, то чи відповідає наступне твердження ?:

iptables - це вбудований брандмауер для Ubuntu Desktop і повністю налаштований і працює та працює з коробкою з типовими правилами, які є достатньо безпечними для середнього користувача робочого столу, а саме: заборонити (вхідний), дозволити (вихідний).

Заява хибна

Заява - це фактично два твердження, об'єднані та . Отже, якщо лише одна частина всього твердження є помилковою, то вся заява є хибною. Давайте розбимо його:

iptables це вбудований брандмауер для Ubuntu Desktop

Вказана частина вірна.

Тепер давайте розглянемо іншу частину:

iptables повністю налаштований і працює та працює з вікном із правилами за замовчуванням, які є достатньо безпечними для середнього користувача робочого столу, а саме: заперечувати (вхідний), дозволити (вихідний).

Вказана частина помилкова.

Установка на робочому столі Ubuntu за замовчуванням не має відкритих портів і не працює серверів. Тому, хоча iptablesвстановлений за замовчуванням у настільному Ubuntu, він не налаштований робити нічого. Тобто, у брандмауері за замовчуванням не встановлені правила.

Таким чином, iptableналаштовано нічого не робити при установці Ubuntu.

Інше питання 2:

Пояснення до зображення nmap та gufw (я думаю, це саме те, що ти хочеш)

Ваш nmap показує, що лише два відкриті порти відкриті до 127.0.0.1. Це спеціальна IP-адреса, яка стосується самого комп’ютера. Тобто комп’ютер сам може говорити сам за допомогою цих двох відкритих портів.

На gufwекрані екрана видно, що не існує налаштування правил брандмауера. Однак, оскільки ви встановили gufwта натиснули на нього, ufwвін також встановлений (gufw використовує ufw) і ufw активний. Конфігурація ufw за замовчуванням, яку ви згадали вище, заперечує (входить) та дозволяє (вихідний) працює. Однак ці правила не стосуються самого комп’ютера, тобто 127.0.0.1. Цього (не обов’язково, але) достатньо для домашнього користувача.

Оригінальна відповідь ==>

Середні домашні користувачі не потребують брандмауера

Установка на робочому столі Ubuntu за замовчуванням не має відкритих портів і не працює серверів. Тому якщо ви не запускаєте жодного демона сервера, наприклад ssh-сервера, то вам не потрібен жоден брандмауер. Таким чином, iptable налаштований нічого не робити при встановленні Ubuntu. Див. Чи потрібно активувати брандмауер? Я використовую Ubuntu лише для домашнього настільного використання? для деталей.

Якщо ви запускаєте сервери, вам потрібен брандмауер

Якщо ви не є звичайним домашнім користувачем і хочете зробити деякі вдосконалені речі, такі як віддалений доступ до робочого столу за допомогою ssh або запуск деяких інших служб, знадобиться брандмауер. Ваша конфігурація брандмауера буде залежати від того, які демони сервера ви плануєте запустити.

Навіть якщо ви не плануєте запускати сервер, можливо, вам знадобиться брандмауер із конфігурацією за замовчуванням відхиляти всі вхідні з'єднання з усіх портів. Це потрібно вдвічі безпечніше, якщо на один день ви захочете встановити та запустити сервер, не розуміючи, що ви робите. Без зміни конфігурації брандмауера за замовчуванням сервер не працюватиме, як очікувалося. Ви будете чесати голову годинами, перш ніж пам'ятати, що ви активували брандмауер. Тоді ви, можливо, захочете видалити серверне програмне забезпечення, оскільки це може бути не вартим ризику. Або ви можете налаштувати брандмауер, щоб сервер працював.

gufw є найпростішим

gufw - це інтерфейс GUI для ufw, який, у свою чергу, конфігурує iptables. Оскільки ви використовуєте Linux з 1990-х, вам може бути зручно в командному рядку або ви можете віддавати перевагу візуальним підсказкам графічного інтерфейсу. Якщо вам подобається графічний інтерфейс, тоді використовуйте gufw. Це легко зрозуміти і налаштувати навіть для новачків.

ufw легко

Якщо вам подобається командний рядок, ufwдосить просто.

iptables не так просто

Причина, по якій ми не хочемо, щоб хтось безпосередньо поспілкувався з iptables, а використовував ufwабо gufwчерез те, що це дуже легко зіпсувати, iptablesі як тільки ви це зробите, система може зламатись настільки сильно, що може бути непридатною. iptables-applyКоманда деякі вбудовані гарантій для захисту користувачів від їх помилок.

Сподіваюсь, це допомагає


Добре, дякую за вашу відповідь та ваш час, вибачте за незручності, але, схоже, мені доведеться переписати своє запитання, щоб уточнити та спростити питання та деталі

Дякуємо за вашу переглянуту відповідь і знову вибачаюсь, оскільки я вносив подальші зміни, оскільки я певний час переглядав усі коментарі та посилання на інші запитання, і хотів спробувати включити всі моменти, які мені потрібно зробити, щодо того, чому інший відповіді з тієї чи іншої причини недостатньо відповідають на моє запитання, і це моя остаточна редакція.

1
Просто хочу зазначити, що iptables має механізм запобігання описаної вами ситуації блокування. Ви використовуєте вбудований iptables-apply- більш безпечний спосіб віддаленого оновлення iptables
jchook

1
@jchook Дякую, що згадуєте про це. Чим більше людей читають і коментують мою відповідь, тим я можу дізнатися більше нового. : D
user68186

1

Я сам даю цю відповідь, оскільки мене не переконували люди, які наполягають на тому, що вам не потрібен брандмауер, у вас немає відкритих портів ... і я не хочу відзначити це прийнятим, хоча я приймаю його сам, я залишу його громада, щоб проголосувати, чи має це бути відповіддю.

Все, що я хотів би сказати всім, хто користується Ubuntu Desktop, хто стикається з цим питанням, якщо ви не впевнені в брандмауері, тому що, як я, ви бачили на собі стільки суперечливих поглядів на цю тему, то моя порада просто продовжуйте і використовуйте брандмауер, я рекомендую ufw, і якщо ви хочете користувальницький інтерфейс, то використовуйте Gufw, тому що коли все сказано і зроблено, навіть якщо все, що це робиться, вам дасть вам розум, ви не можете завдати шкоди для його використання.

Я врешті-решт звернувся до офіційної документації на Ubuntu для роз'яснення і знайшов наступну статтю, і після свого досвіду, намагаючись знайти відповіді, я б рекомендував вам прочитати цю статтю, оскільки вона має багато сенсу, і вона відповідає на мої запитання та додаткові питання, і я думаю, що я я зараз все в порядку;)

https://help.ubuntu.com/community/DoINeedAFirewall

Ось досвід із зазначеної статті:

У мене немає відкритих портів, тому мені не потрібен брандмауер, правда?

Ну не дуже. Це поширене неправильне уявлення. Спочатку давайте розберемося, що таке відкритий порт насправді. Відкритий порт - це порт, у якому пов'язана служба (наприклад, SSH) і слухає її. Коли SSH-клієнт намагається зв’язатися з сервером SSH, він надішле пакет TCP SYN до порту SSH (22 за замовчуванням), і сервер ознайомлює його, створивши нове з'єднання. Тут починається неправильне уявлення про те, як брандмауер може допомогти вам. Деякі користувачі припускають, що оскільки ви не користуєтесь послугами, з'єднання неможливо встановити. Тож вам не потрібен брандмауер. Якби це були єдині речі, над якими потрібно було подумати, це було б цілком прийнятно.Однак це лише частина картини. Є два додаткові фактори, які тут граються. По-перше, якщо ви не використовуєте брандмауер на основі того, що у вас немає відкритих портів, ви калічите свою власну безпеку, тому що якщо програма, яка у вас є, експлуатується і відбувається виконання коду, новий сокет може бути створений і прив’язаний до довільної порт. Іншим важливим фактором тут є те, що якщо ви не використовуєте брандмауер, ви також не маєте ніякого контролю виїзного руху. У результаті використання експлуатованої програми, замість створення нового сокета та прив'язки порту, ще одна альтернатива, яку зловмисник може використовувати, - це створити зворотне з'єднання назад до шкідливої ​​машини. Без будь-яких правил брандмауера це з'єднання пройде безперешкодно.


1

iptables є частиною мережевого стеку TCP / IP. Якщо у вас * Nix, у вас є IPTABLES. Якщо ви перебуваєте в мережі IP, увімкнено брандмауер або вимкнено, ви використовуєте iptables незалежно.

ufw - додаток * Nix зверху (означає використання iptables ). На основі консолі оболонки, але це не так складно у використанні. Його можна вмикати / вимикати. Ви не можете відключити iptables, оскільки повинні бути маршрути за замовчуванням для Інтернету (0.0.0.0), локального зворотного звороту (127.0.0.0), localhost (192.168.0.0) та автоматичної адреси (169.254.0.0). Як ви бачите, iptables викладається в мережевий стек. Ви не можете цього уникнути, навіть якщо цього хотіли.

ufw може змінювати записи iptables в матриці, виходячи із зручності консолі оболонки. IP-маршрути iptables можна редагувати вручну, але я не рекомендую його, оскільки це в кращому випадку схильне до помилок. Подумайте про ufw як інструмент редагування таблиць маршрутів IP.

Як мені зручніше з консоллю оболонки, я все-таки рекомендую простоту gufw, яка є графічною «обгорткою» для ufw, яка сидить на вершині iptables.

Мені подобається її простота, особливо додавання профілів брандмауера додатків, таких як медіа-сервери або програми bittorrent. Що б не полегшило моє життя, заробляє мої кудо.

Отже, щоб відповісти на ваше змінене запитання, IPTABLES не захистить вашу мережу, якщо залишиться сам на сам. Він не призначений для блокування, фільтрації, відключення або дозволу певних портів, які проходять таблиці маршрутів IP. Використовуйте ufw + gufw, якщо ви хочете дозволити / заблокувати певні порти або діапазон портів, які, в свою чергу, динамічно редагують таблицю маршруту ip.


Ласкаво просимо в Ask Ubuntu! ;-) Хоча ваша відповідь на 100% правильна, вона також може стати 100% марною, якщо це посилання буде переміщено, змінено, об'єднано в інший або головний сайт просто зникне ... :-( Тому, будь ласка, відредагуйте свою відповідь, і скопіюйте відповідні кроки із посилання у свою відповідь, тим самим гарантуючи свою відповідь протягом 100% життя цього веб-сайту! ;-) Ви завжди можете залишити посилання внизу вашої відповіді як джерело вашого матеріалу ...
Fabby

Хоча це посилання може відповісти на питання, краще включити сюди суттєві частини відповіді та надати посилання для довідки. Відповіді лише на посилання можуть стати недійсними, якщо пов’язана сторінка зміниться.
Мітч
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.