Załóżmy:

• Mam niewielką lub żadną wiedzę na temat wewnętrznego działania systemu operacyjnego Ubuntu / Linux. Wiem tylko, że z systemu Windows wiem, że muszę mieć zaporę sieciową skonfigurowaną i uruchomioną przed połączeniem z Internetem, w przeciwnym razie mój system byłby tak bezpieczny, jak wyjazd na wakacje i opuszczenie domu ze wszystkimi drzwiami i oknami otwarty.
• Właśnie przeprowadziłem migrację do systemu Ubuntu Desktop 18.04 LTS i właśnie się zalogowałem po raz pierwszy. Chcę zabezpieczyć system przed podłączeniem komputera do Internetu.

(Uwaga: Zwróć uwagę na nacisk na słowo pulpit , więc wszelkie odniesienia do serwera nie będą dotyczyły pytania, a zatem nie będą miały znaczenia)

i po kilku badaniach na ten temat rozumiem tak bardzo:

za. Czy ufw jest domyślnym „narzędziem konfiguracyjnym” zapory dla Ubuntu? (zwróć uwagę, że jest to napisane narzędzie konfiguracyjne, a nie faktyczna zapora ogniowa), a ufw jest zainstalowany, ale nie działa i wcale nie jest skonfigurowany, więc nie ma żadnych domyślnych reguł.

b. Gufw to interfejs użytkownika do ufw, ale nie jest domyślnie instalowany, a przynajmniej tak jest w przypadku Ubuntu Desktop 18.04 LTS.

do. iptables to rzeczywista zapora ogniowa wbudowana w jądro jako moduł.

W tym momencie wiem, że mogę skonfigurować ufw, ponieważ jest to łatwe jak abc, stąd jego nazwa i aby go używać, jako punkt wyjścia, musisz ustawić odmowę (przychodzące), zezwalać (wychodzące) i uruchomić, rozumiem również, że mogę użyć Gufw też to robi. Więc mógłbym to po prostu zostawić i zrobić właśnie to.

Jednak po wszystkich moich badaniach znajduję wiele artykułów, pytań i blogów na ten temat z wieloma poglądami i opiniami, wiele z nich stwierdza, że ​​nie potrzebujesz zapory ogniowej, nie ma otwartych portów, ale myślę, że z pewnością niektóre porty muszą otwarte po podłączeniu do Internetu? co oznacza, że ​​podłączam urządzenie do sieci i otwieram dwukierunkowe połączenie drogowe, ale wszystkie informacje, które przeczytałem, służą jedynie do uczynienia tego niejasnym i niejednoznacznym, więc trawię wszystkie te informacje i próbuję je zrozumieć, a następnie zmniejszyć sprowadza się to do pojedynczego wyrażenia, więc w skrócie podsumowuję:

Użytkownicy komputerów Ubuntu nie potrzebują ufw, ponieważ jest to jedynie narzędzie konfiguracyjne dla iptables, które jest prawdziwą zaporą sieciową pod maską.

Więc powiedz, że biorę powyższe stwierdzenie dosłownie, to czy poniższe stwierdzenie jest prawdziwe ?:

iptables to wbudowana zapora sieciowa dla Ubuntu Desktop, która jest w pełni skonfigurowana i działa od razu z domyślnymi regułami, które są wystarczająco bezpieczne dla przeciętnego użytkownika pulpitu.

Ponieważ jeśli powyższa prawda jest prawdą, to jaki byłby sens w ufw, oprócz zapewnienia nieskomplikowanego interfejsu dla iptables, co według wszystkich kont jest skomplikowane, a ponadto eksperci radzą, aby unikać bezpośredniego konfigurowania iptables, ponieważ jeśli nie wiesz dokładnie, co robisz, możesz łatwo sprawić, że twój system będzie niepewny lub nie będzie nadawał się do użytku, jeśli jest źle skonfigurowany?

Oto skan nmap mojego systemu wraz z moją konfiguracją zapory ogniowej, pokazujący otwarte porty w moim systemie:

Czy ktoś mógłby udzielić zwięzłej, trafnej i bezstronnej odpowiedzi opartej na faktach :)

Pytanie znacznie się zmieniło

Nowa odpowiedź

Pytanie TYTUŁOWE

Czy jako nowy użytkownik systemu Ubuntu Desktop 18.04 LTS muszę korzystać ufwz zapory ogniowej lub czy iptables jest wystarczający?

Większość domowych użytkowników Ubuntu nie potrzebuje ani nie używa ufw. Zarówno ufwi iptablessą domyślnie instalowane i konfigurowane są nic nie robić. Dlaczego nie ma takiej potrzeby, wyjaśniono bardziej szczegółowo poniżej.

Drugie pytanie 1:

Więc powiedz, że biorę powyższe stwierdzenie dosłownie, to czy poniższe stwierdzenie jest prawdziwe ?:

iptables to wbudowana zapora sieciowa dla Ubuntu Desktop, która jest w pełni skonfigurowana i działa od razu z domyślnymi regułami, które są wystarczająco bezpieczne dla przeciętnego użytkownika pulpitu, a mianowicie odmawiają (przychodzą), zezwalają (wychodzą).

Oświadczenie jest fałszywe

Instrukcja to tak naprawdę dwie instrukcje połączone przez i . Jeśli więc tylko jedna część całego wyrażenia jest fałszywa, to całe wyrażenie jest fałszywe. Rozbijmy to:

iptables jest wbudowaną zaporą ogniową dla Ubuntu Desktop

Powyższa część jest prawdziwa.

Teraz spójrzmy na drugą część:

iptables jest w pełni skonfigurowany i działa od razu z domyślnymi regułami, które są wystarczająco bezpieczne dla przeciętnego użytkownika pulpitu, a mianowicie odmawiają (przychodzą), zezwalają (wychodzą).

Powyższa część jest fałszywa.

Domyślna instalacja na pulpicie Ubuntu nie ma otwartych portów ani serwerów. Dlatego nawet jeśli iptablesjest domyślnie instalowany w Ubuntu na komputerze, nie jest skonfigurowany do robienia czegokolwiek. Oznacza to, że domyślna zapora nie ma ustawionych reguł.

Dlatego iptablejest skonfigurowany, aby nic nie robić po zainstalowaniu Ubuntu.

Drugie pytanie 2:

Objaśnienia do obrazu nmap i gufw (myślę, że tego właśnie chcesz)

Twoja nmap pokazuje, że tylko dwa otwarte porty są otwarte dla 127.0.0.1. Jest to specjalny adres IP, który odnosi się do samego komputera. Oznacza to, że sam komputer może rozmawiać ze sobą za pomocą tych dwóch otwartych portów.

Te gufwpokazy screenshot, że nie ma konfiguracji reguł zapory. Jednak ponieważ zainstalowałeś go gufwi kliknąłeś, ufwjest również zainstalowany (gufw używa ufw) i ufw jest aktywny. Domyślna konfiguracja ufw, o której wspomniałeś powyżej, odmawia (przychodzi) i pozwala (wychodzi) działa. Te zasady nie dotyczą jednak samego komputera, czyli 127.0.0.1. Jest to (nie konieczne, ale) wystarczające dla użytkownika domowego.

Oryginalna odpowiedź ==>

Przeciętny użytkownik domowy nie potrzebuje zapory ogniowej

Domyślna instalacja na pulpicie Ubuntu nie ma otwartych portów ani serwerów. Dlatego jeśli nie uruchomisz żadnego demona serwera, takiego jak serwer ssh, nie potrzebujesz zapory. Dlatego iptable jest skonfigurowany tak, aby nic nie robił podczas instalacji Ubuntu. Zobacz Czy muszę aktywować zaporę? Używam Ubuntu tylko do użytku domowego? dla szczegółów.

Jeśli korzystasz z serwerów, potrzebujesz zapory

Jeśli nie jesteś przeciętnym użytkownikiem domowym i chcesz robić pewne zaawansowane rzeczy, takie jak zdalny dostęp do pulpitu przez ssh lub inne usługi, potrzebujesz zapory. Twoja konfiguracja zapory będzie zależeć od demonów serwera, które planujesz uruchomić.

Nawet jeśli nie planujesz uruchomić serwera, możesz chcieć zapory ogniowej z domyślną konfiguracją odmawiania wszystkich połączeń przychodzących ze wszystkich portów. Ma to być podwójnie bezpieczne, na wypadek, gdyby pewnego dnia chcesz zainstalować i uruchomić serwer, nie zdając sobie sprawy z tego, co robisz. Bez zmiany domyślnej konfiguracji zapory serwer nie będzie działał zgodnie z oczekiwaniami. Będziesz drapał się przez wiele godzin, zanim przypomnisz sobie, że aktywowałeś zaporę. Następnie możesz odinstalować oprogramowanie serwera, ponieważ może to nie być warte ryzyka. Możesz też skonfigurować zaporę ogniową, aby serwer działał.

gufw jest najłatwiejszy

gufw to interfejs GUI ufw, który z kolei konfiguruje iptables. Ponieważ używasz Linuksa od lat 90., możesz czuć się swobodnie z linii poleceń lub preferować wizualne wskazówki GUI. Jeśli podoba Ci się GUI, użyj gufw. Jest łatwy do zrozumienia i skonfigurowania nawet dla początkującego.

ufw jest proste

Jeśli podoba Ci się wiersz poleceń, ufwjest to dość łatwe.

iptables nie jest takie łatwe

Powodem nie chcemy nikomu bawić się bezpośrednio z iptables i użycie ufwlub gufwdlatego, że jest bardzo łatwy w bałagan iptables, a raz to zrobisz, system może złamać się tak źle, że może być bezużyteczny. iptables-applyPolecenie niektóre wbudowane zabezpieczenia w celu ochrony użytkowników przed ich błędów.

Mam nadzieję że to pomoże

Sam udzielam tej odpowiedzi, ponieważ ludzie, którzy twierdzą, że nie potrzebujesz zapory ogniowej, nie przekonał mnie, nie masz otwartych portów ... i nie zaznaczę, że została zaakceptowana, chociaż sama ją akceptuję, pozostawię ją społeczność zagłosuje, czy taka powinna być odpowiedź.

Wszystko, co chciałbym powiedzieć każdemu, kto korzysta z Ubuntu Desktop, który napotka to pytanie, jeśli nie jesteś pewien zapory ogniowej, ponieważ tak jak ja, widziałeś dla siebie tyle sprzecznych poglądów na ten temat, to moja rada jest taka użyj zapory ogniowej, polecam ufw, a jeśli chcesz interfejsu użytkownika, użyj Gufw, ponieważ kiedy wszystko jest powiedziane i zrobione, nawet jeśli wszystko daje ci spokój, nie możesz zrobić nic złego w korzystaniu z niego.

W końcu zwróciłem się do oficjalnej dokumentacji Ubuntu w celu wyjaśnienia i znalazłem następujący artykuł, a po moim doświadczeniu w poszukiwaniu odpowiedzi, polecam przeczytanie tego artykułu, ponieważ ma on wiele sensu i odpowiada na moje pytania i pytania częściowe i myślę, że ja teraz będzie dobrze;)

https://help.ubuntu.com/community/DoINeedAFirewall

Oto ćwiczenie z powyższego artykułu:

Nie mam otwartych portów, więc nie potrzebuję zapory, prawda?

Cóż, nie za bardzo. Jest to powszechne nieporozumienie. Po pierwsze, pozwól nam zrozumieć, czym tak naprawdę jest otwarty port. Otwarty port to port, który ma powiązaną usługę (taką jak SSH) i nasłuchuje. Gdy klient SSH próbuje komunikować się z serwerem SSH, wyśle ​​pakiet TCP SYN do portu SSH (domyślnie 22), a serwer potwierdzi to, tworząc nowe połączenie. Tutaj zaczyna się nieporozumienie, w jaki sposób zapora może ci pomóc. Niektórzy użytkownicy zakładają, że ponieważ nie masz żadnych usług, nie można nawiązać połączenia. Nie potrzebujesz więc zapory ogniowej. Gdyby to były jedyne rzeczy, o których trzeba pomyśleć, byłoby to całkowicie do przyjęcia.Jest to jednak tylko część obrazu. W grę wchodzą dwa dodatkowe czynniki. Po pierwsze, jeśli nie używasz zapory sieciowej z tego powodu, że nie masz otwartych portów, osłabiasz własne bezpieczeństwo, ponieważ jeśli posiadana aplikacja zostanie wykorzystana i nastąpi wykonanie kodu, można utworzyć nowe gniazdo i przypisać je dowolnemu Port. Innym ważnym czynnikiem jest to, że jeśli nie używasz zapory, nie masz żadnej kontroli ruchu wychodzącego. W wyniku wykorzystania aplikacji, zamiast tworzenia nowego gniazda i wiązania portu, inną alternatywą, z której może skorzystać osoba atakująca, jest utworzenie odwrotnego połączenia z złośliwą maszyną. Bez obowiązujących reguł zapory połączenie będzie działać bez przeszkód.

iptables jest częścią stosu sieciowego TCP / IP. Jeśli masz * Nix, masz IPTABLES. Jeśli korzystasz z sieci IP, zapora jest włączona lub wyłączona, niezależnie od tego używasz iptables.

ufw to aplikacja * Nix na wierzchu (co oznacza używanie iptables ). Jest oparty na konsoli powłoki, ale nie jest tak trudny w użyciu. Można go włączyć / wyłączyć. Nie można wyłączyć iptables, ponieważ muszą istnieć domyślne trasy dla Internetu (0.0.0.0), lokalnej pętli zwrotnej (127.0.0.0), localhost (192.168.0.0) i automatycznego adresowania (169.254.0.0). Jak widać, iptables jest upieczony w stosie sieciowym. Nie możesz tego uniknąć, nawet jeśli chcesz.

ufw może modyfikować wpisy iptables w matrycy z poziomu konsoli konsoli. Możliwe jest ręczne edytowanie tras IP iptables, ale nie zalecę tego, ponieważ jest to w najlepszym wypadku podatne na błędy. Pomyśl o ufw jako narzędziu do edycji tablic tras IP.

Mimo, że mogę być wygodny z konsolą powłoki, nadal polecam prostotę gufw, która jest graficznym „wrapperem” dla ufw, który siedzi na szczycie iptables.

Uwielbiam jego prostotę, szczególnie dodając profile zapory aplikacji, takie jak serwery multimediów lub aplikacje bittorrent. Cokolwiek czyni moje życie łatwiejszym, zarabia moje uznanie.

Aby odpowiedzieć na twoje zmodyfikowane pytanie, IPTABLES nie ochroni twojej sieci, jeśli pozostanie sama. Nie jest przeznaczony do blokowania, filtrowania, wyłączania lub zezwalania na niektóre porty, które przechodzą przez tabele tras IP. Użyj ufw + gufw, jeśli chcesz zezwolić / zablokować tylko niektóre porty lub zakres portów, które z kolei dynamicznie edytują tablicę tras ip.