Как новый пользователь Ubuntu Desktop 18.04 LTS, мне нужно использовать UFW для брандмауэра или достаточно Iptables? [закрыто]

12

Давайте предположим:

  • У меня мало или нет знаний о внутренней работе ОС Ubuntu / Linux. Все, что я знаю по своему опыту работы с Windows, это то, что мне нужно настроить и запустить брандмауэр, прежде чем я подключусь к Интернету, иначе моя система будет примерно такой же безопасной, как выход в отпуск и выход из дома со всеми дверями и окнами. открыто.
  • Я только что перешел на рабочий стол Ubuntu 18.04 LTS и только что вошел в систему в первый раз. Я хочу защитить свою систему до того, как подключу свой компьютер к Интернету.

(NB: обратите внимание на акцент на слове « рабочий стол» , поэтому любые ссылки на сервер не будут относиться к вопросу и, следовательно, не будут иметь значения)

и после некоторого исследования на эту тему я понимаю это очень много:

а. UFW брандмауэр по умолчанию "инструмент конфигурации" для Ubuntu? (обратите внимание, что в нем написано средство настройки, а не настоящий брандмауэр), и ufw установлен, но он не запущен и вообще не настроен, поэтому у него нет стандартных правил, установленных из коробки.

б. Gufw - это пользовательский интерфейс для ufw, но он не установлен по умолчанию, или, по крайней мере, так обстоит дело с Ubuntu Desktop 18.04 LTS.

с. iptables - это настоящий межсетевой экран, который встроен в ядро ​​как модуль.

На данный момент знаю, что я могу настроить UFW так же просто, как ABC, поэтому его имя и использовать его, в качестве отправной точки, вам нужно установить deny (входящий), allow (исходящий) и запустить его, я также понимаю, что я мог бы использовать Gufw, чтобы сделать это тоже. Так что я могу просто оставить это там и сделать это.

Однако после всех моих исследований я нахожу много статей, вопросов и блогов на эту тему со многими взглядами и мнениями, многие из которых заявляют, что вам не нужен брандмауэр, нет открытых портов, но я думаю, что некоторые порты должны открыть при подключении к интернету? это означает, что я подключаю свое устройство к сети и открываю двустороннее соединение с трафиком, но вся информация, которую я только что прочитал, делает ее неясной и неоднозначной, поэтому я перевариваю всю эту информацию и пытаюсь разобраться в ней, а затем уменьшить это сводится к одному утверждению и поэтому вкратце:

Пользователи Ubuntu для настольных компьютеров не нуждаются в UFW, так как это всего лишь инструмент настройки iptables, который является настоящим межсетевым экраном под капотом.

Итак, скажите, что я воспринимаю приведенное выше утверждение буквально, тогда верно ли следующее утверждение ?:

iptables - это встроенный брандмауэр для Ubuntu Desktop, он полностью настроен и работает из коробки с правилами по умолчанию, которые достаточно безопасны для обычного пользователя рабочего стола.

Потому что, если вышеприведенное верно, то какой смысл в ufw, кроме как обеспечить простой интерфейс для iptables, который по всем параметрам сложен, и, кроме того, эксперты советуют вам избегать прямой настройки iptables, поскольку, если вы точно не знаете, что именно вы делаете, вы могли бы легко сделать вашу систему небезопасной или непригодной для использования, если она неправильно настроена?

Вот сканирование nmap моей системы вместе с настройкой брандмауэра, показывающее открытые порты в моей системе: введите описание изображения здесь

Пожалуйста, кто-нибудь может дать краткий, актуальный и не основанный на мнении факт, ответ :)

Fabby
источник
Легче установить, gufwчтобы помочь настроить это.
Хейннема
Что в этом непонятного? askubuntu.com/questions/178616/…
Pilot6
Вам не нужен ЛЮБОЙ брандмауэр, если у вас не запущены сетевые службы. Так что не имеет значения, как и что настроено.
Pilot6
1
Я добавил к своему ответу. На данный момент я должен напомнить вам, что это сайт с ответом на вопрос, а не дискуссионный форум. Пожалуйста, не добавляйте новые компоненты к вопросу, так как я отвечаю на старые. Если вы продолжаете делать это, вопрос может быть закрыт как слишком широкий. Задайте новый дополнительный вопрос и, если нужно, обратитесь к нему.
user68186
Я разочарован тем, что этот вопрос был отложен из-за предположения, что «ответы на этот вопрос будут, как правило, почти полностью основаны на мнениях, а не на фактах», не правда ли, это просто другое мнение? Вот почему я заявил, когда задавал вопрос, чтобы дать ответ, основанный на фактах, не связанных с мнением, так что вы говорите, что нет окончательного ответа, основанного на фактах? Я думаю, что ответ из официальной документации по Ubuntu также не основан на фактах? Этот вопрос имеет 630 просмотров, поэтому очевидно, что есть много людей, заинтересованных в ответе!

Ответы:

14

Вопрос значительно изменился

Новый ответ

НАЗВАНИЕ Вопрос

Как новый пользователь Ubuntu Desktop 18.04 LTS, мне нужно использовать ufwдля брандмауэра или достаточно iptables?

Большинство домашних пользователей Ubuntu не нуждаются или не используют ufw. Оба ufwи iptablesустановлены по умолчанию и настроены ничего не делать. Почему в этом нет необходимости, более подробно объясняется ниже.

Другой вопрос 1:

Итак, скажите, что я воспринимаю приведенное выше утверждение буквально, тогда верно ли следующее утверждение ?:

iptables - это встроенный брандмауэр для Ubuntu Desktop, он полностью настроен и работает из коробки с правилами по умолчанию, которые достаточно безопасны для обычного пользователя рабочего стола, а именно: deny (входящий), allow (исходящий).

Утверждение ложное

Утверждение - фактически два утверждения, соединенные и . Таким образом, если только одна часть всего утверждения является ложной, тогда все утверждение является ложным. Давайте разберемся с этим:

iptables это встроенный брандмауэр для Ubuntu Desktop

Вышеуказанная часть верна.

Теперь давайте посмотрим на другую часть:

iptables полностью настроен и работает и работает из коробки с правилами по умолчанию, которые являются достаточно безопасными для обычного пользователя рабочего стола, а именно: deny (входящий), allow (исходящий).

Вышеуказанная часть является ложной.

Установка рабочего стола Ubuntu по умолчанию не имеет открытых портов и серверов. Поэтому, несмотря на то, iptablesчто он установлен по умолчанию в настольной Ubuntu, он не настроен ничего делать. То есть брандмауэр по умолчанию не имеет установленных правил.

Таким образом, iptableнастроено ничего не делать при установке Ubuntu.

Другой вопрос 2:

Пояснения к nmap и gufw image (думаю, это то, что вы хотите)

Ваш nmap показывает, что только два открытых порта открыты для 127.0.0.1. Это специальный IP-адрес, который относится к самому компьютеру. То есть сам компьютер может общаться с собой, используя эти два открытых порта.

На gufwснимке экрана показано, что правила брандмауэра не настроены. Однако, так как вы установили gufwи нажали на него, ufwон также установлен (gufw использует ufw) и ufw активен. Конфигурация ufw по умолчанию, которую вы упомянули выше, deny (входящий) и allow (исходящий), работает. Однако эти правила не применяются к самому компьютеру, то есть 127.0.0.1. Этого (не обязательно, но) достаточно для домашнего пользователя.

Оригинальный ответ ==>

Обычным домашним пользователям не нужен брандмауэр

Установка рабочего стола Ubuntu по умолчанию не имеет открытых портов и серверов. Поэтому, если вы не запускаете какой-либо серверный демон, такой как ssh server, вам не нужен брандмауэр. Таким образом, iptable настроен так, чтобы ничего не делать при установке Ubuntu. См. Нужно ли активировать брандмауэр? Я использую Ubuntu только для домашнего рабочего стола? для деталей.

Если вы запускаете серверы, вам нужен брандмауэр

Если вы не обычный домашний пользователь и хотите сделать что-то сложное, например, получить удаленный доступ к своему рабочему столу с помощью ssh или запустить другие службы, то вам нужен брандмауэр. Ваша конфигурация брандмауэра будет зависеть от того, какие серверные демоны вы планируете запустить.

Даже если вы не планируете запускать сервер, вам может потребоваться межсетевой экран с конфигурацией по умолчанию, которая запрещает все входящие соединения со всех портов. Это должно быть вдвойне безопасно, если в один прекрасный день вы захотите установить и запустить сервер, не осознавая, что вы делаете. Без изменения конфигурации брандмауэра по умолчанию сервер не будет работать должным образом. Вы будете часами чесать голову, прежде чем вспомнить, что вы активировали брандмауэр. Затем вы можете удалить серверное программное обеспечение, так как оно может не стоить риска. Или вы можете настроить брандмауэр, чтобы сервер работал.

gufw самый простой

gufw - это графический интерфейс для ufw, который, в свою очередь, настраивает iptables. Поскольку вы используете Linux с 1990-х годов, вам может быть комфортно работать с командной строкой или предпочитать визуальные подсказки графического интерфейса. Если вам нравится графический интерфейс, то используйте gufw. Это легко понять и настроить даже для новичка.

ufw легко

Если вам нравится командная строка, ufwэто достаточно просто.

iptables не так просто

Причина, по которой мы не хотим, чтобы кто-либо напрямую возился с iptables, и использовал ufwили gufwзаключается в том, что очень легко все испортить, iptablesи, как только вы это сделаете, система может сломаться настолько сильно, что может оказаться непригодной для использования. Команда iptables-applyимеет несколько встроенных средств защиты, чтобы защитить пользователей от их ошибок.

Надеюсь это поможет

user68186
источник
Хорошо, спасибо за ваш ответ и ваше время, извинения за неудобства, но, похоже, мне придется переписать мой вопрос, чтобы уточнить и упростить вопрос и детали
Спасибо за ваш исправленный ответ и еще раз извинения за то, что в течение некоторого времени я внес дополнительные изменения, так как я в течение некоторого времени просматривал все комментарии и ссылки на другие вопросы, и я хотел бы попытаться включить все замечания, которые мне нужно было сделать относительно того, почему другие ответы по той или иной причине не дают достаточного ответа на мой вопрос, и это мое окончательное редактирование.
1
Просто хочу отметить, что в iptables есть механизм, предотвращающий описанную вами ситуацию блокировки. Вы используете встроенный iptables-apply- более безопасный способ удаленного обновления iptables
jchook
1
@jchook Спасибо за упоминание этого. Чем больше людей читают и комментируют мой ответ, тем больше я узнаю. : D
user68186
1

Я даю этот ответ сам, так как меня не убедили люди, которые настаивают на том, что вам не нужен брандмауэр, у вас нет открытых портов ... и я не буду отмечать его как принятый, хотя я принимаю его сам, я оставлю это сообщество, чтобы проголосовать, должен ли это быть ответом.

Все, что я хотел бы сказать всем, кто использует Ubuntu Desktop, кто сталкивался с этим вопросом, если вы не уверены в брандмауэре, потому что, как и я, вы сами убедились в том, что существует множество противоречивых мнений по этому вопросу, тогда мой совет просто идти вперед используйте брандмауэр, я рекомендую UFW, и если вы хотите UI, то используйте Gufw, потому что, когда все сказано и сделано, даже если все, что он делает, это дает вам душевное спокойствие, вы не можете причинить вреда при использовании его.

В конце концов я обратился за разъяснениями к официальной документации по Ubuntu и нашел следующую статью, и после моего опыта в поиске ответов я бы порекомендовал вам прочитать эту статью, потому что она имеет большой смысл и отвечает на мои вопросы и подвопросы, и я думаю, что я сейчас все будет в порядке;)

https://help.ubuntu.com/community/DoINeedAFirewall

Вот выдержка из вышеупомянутой статьи:

У меня нет открытых портов, поэтому мне не нужен брандмауэр, верно?

Ну не совсем. Это распространенное заблуждение. Во-первых, давайте разберемся, что такое открытый порт. Открытый порт - это порт, к которому привязана и прослушивается служба (например, SSH). Когда клиент SSH пытается установить связь с сервером SSH, он отправляет пакет TCP SYN на порт SSH (по умолчанию 22), и сервер подтверждает это, тем самым создавая новое соединение. Ошибочное представление о том, как брандмауэр может помочь вам, начинается здесь. Некоторые пользователи предполагают, что, поскольку у вас нет служб, соединение не может быть установлено. Так что вам не нужен брандмауэр. Если бы это были единственные вещи, о которых вам нужно было подумать, это было бы совершенно приемлемо.Однако это только часть картины. Здесь есть два дополнительных фактора. Во-первых, если вы не используете брандмауэр на том основании, что у вас нет открытых портов, вы наносите вред своей собственной безопасности, потому что, если используемое вами приложение эксплуатируется и происходит выполнение кода, можно создать новый сокет и связать его с произвольным порт. Другим важным фактором здесь является то, что, если вы не используете брандмауэр, вы также не имеете никакого контроля над исходящим трафиком. Вслед за эксплуатируемым приложением, вместо создания нового сокета и связывания порта, другая альтернатива, которую может использовать злоумышленник, - создать обратное соединение с вредоносной машиной. Без каких-либо правил брандмауэра это соединение будет проходить беспрепятственно.


источник
1

iptables является частью сетевого стека TCP / IP. Если у вас есть * Nix, у вас есть IPTABLES. Если вы находитесь в IP-сети, брандмауэр включен или отключен, вы используете iptables, независимо от того.

ufw - это приложение * Nix поверх (имеется в виду использование iptables ). Он основан на консоли консоли, но не так сложен в использовании. Может быть включен / выключен. Вы не можете отключить iptables, так как должны быть маршруты по умолчанию для Интернета (0.0.0.0), локальной обратной связи (127.0.0.0), localhost (192.168.0.0) и автоадресации (169.254.0.0). Как видите, iptables запекается в сетевой стек. Вы не можете избежать этого, даже если бы захотели.

UFW может изменить записи iptables в матрице, не выходя из консоли оболочки. Можно отредактировать IP-маршруты iptables вручную, но я не буду рекомендовать его, так как в лучшем случае он подвержен ошибкам. Думайте об ufw как о средстве редактирования таблиц IP-маршрутов.

Как бы мне ни было удобно с консолью оболочки, я все же рекомендую простоту gufw, которая является графической «оболочкой» для ufw, которая находится поверх iptables.

Мне нравится его простота, особенно добавление профилей брандмауэра приложений, таких как медиа-серверы или приложения с бит-торрентом. Все, что делает мою жизнь легче, зарабатывает мое почтение.

Таким образом, чтобы ответить на ваш измененный вопрос, IPTABLES не защитит вашу сеть, если оставить ее в покое. Он не предназначен для блокировки, фильтрации, отключения или разрешения определенных портов, которые проходят таблицы IP-маршрутов. Используйте ufw + gufw, если вы хотите разрешить / заблокировать только определенные порты или диапазон портов, которые в свою очередь динамически редактируют таблицу маршрутизации ip.

quantanglement
источник
Добро пожаловать в Спросите Ubuntu! ;-) Хотя ваш ответ на 100% правильный, он также может стать на 100% бесполезным, если эта ссылка будет перемещена, изменена, объединена в другую или основной сайт просто исчезнет ... :-( Поэтому, пожалуйста, измените свой ответ и скопируйте соответствующие шаги из ссылки в ваш ответ, тем самым гарантируя ваш ответ на 100% срока службы этого сайта! ;-) Вы всегда можете оставить ссылку внизу вашего ответа в качестве источника для вашего материала ...
Fabby
Хотя эта ссылка может ответить на вопрос, лучше включить сюда основные части ответа и предоставить ссылку для справки. Ответы, содержащие только ссылки, могут стать недействительными, если связанная страница изменится.
Митч