Angenommen:
- Ich habe wenig oder keine Kenntnisse über das Innenleben des Ubuntu / Linux-Betriebssystems. Alles, was ich aus meiner Erfahrung mit Windows weiß, ist, dass ich eine Firewall konfigurieren und ausführen muss, bevor ich eine Verbindung zum Internet herstelle. Andernfalls wäre mein System ungefähr so sicher wie Urlaub und das Verlassen meines Hauses mit allen Türen und Fenstern öffnen.
- Ich bin gerade auf Ubuntu Desktop 18.04 LTS migriert und habe mich gerade zum ersten Mal angemeldet. Ich möchte mein System sichern, bevor ich meinen PC mit dem Internet verbinde.
(Hinweis: Beachten Sie die Betonung des Wortes Desktop , sodass Verweise auf Server für die Frage nicht relevant und daher irrelevant sind.)
und nach einigen Recherchen zu diesem Thema verstehe ich so viel:
ein. Ist ufw das Standard-Firewall- "Konfigurationstool" für Ubuntu? (Beachten Sie, dass hier das Konfigurationstool und nicht die eigentliche Firewall angegeben ist) und ufw installiert ist, aber nicht ausgeführt wird und überhaupt nicht konfiguriert ist, sodass standardmäßig keine Standardregeln festgelegt sind.
b. Gufw ist eine Benutzeroberfläche für ufw, die jedoch nicht standardmäßig installiert ist. Dies ist zumindest bei Ubuntu Desktop 18.04 LTS der Fall.
c. iptables ist die eigentliche Firewall, die als Modul in den Kernel integriert ist.
An diesem Punkt weiß ich, dass ich ufw konfigurieren kann, da es so einfach wie abc ist, daher der Name. Um es als Ausgangspunkt zu verwenden, müssen Sie Verweigern (eingehend), Zulassen (ausgehend) und Starten festlegen. Ich verstehe auch, dass ich es verwenden kann Gufw, das auch zu tun. Also könnte ich es einfach dort lassen und genau das tun.
Nach all meinen Recherchen finde ich jedoch viele Artikel, Fragen und Blogs zu diesem Thema mit vielen Ansichten und Meinungen, von denen viele besagen, dass Sie keine Firewall benötigen, es gibt keine offenen Ports, aber ich denke, sicherlich müssen einige Ports offen, wenn ich mich mit dem Internet verbinde? Das bedeutet, dass ich mein Gerät mit einem Netzwerk verbinde und eine bidirektionale Verkehrsverbindung herstelle, aber alle Informationen, die ich gelesen habe, dienen nur dazu, dies unklar und mehrdeutig zu machen. Daher verdaue ich all diese Informationen und versuche, sie zu verstehen und dann zu reduzieren es auf eine einzige Aussage und so eine kurze Zusammenfassung, die ich zusammenfasse:
Ubuntu-Desktop-Benutzer benötigen ufw nicht, da es sich lediglich um ein Konfigurationstool für iptables handelt, bei dem es sich um die eigentliche Firewall unter der Haube handelt.
Sagen wir also, ich nehme die obige Aussage wörtlich, ist dann die folgende Aussage wahr?:
iptables ist die integrierte Firewall für Ubuntu Desktop und ist vollständig konfiguriert und sofort einsatzbereit. Die Standardregeln sind für den durchschnittlichen Desktop-Benutzer ausreichend sicher.
Denn wenn das oben Gesagte zutrifft, was wäre der Sinn von ufw, außer eine unkomplizierte Schnittstelle zu iptables bereitzustellen, was in jedem Fall kompliziert ist, und außerdem raten die Experten Ihnen, die direkte Konfiguration von iptables zu vermeiden, da Sie nicht genau wissen, was Wenn Sie dies tun, könnten Sie Ihr System leicht unsicher oder unbrauchbar machen, wenn es falsch konfiguriert ist?
Hier ist ein nmap- Scan meines Systems zusammen mit meiner Firewall-Konfiguration, der die offenen Ports auf meinem System zeigt:
Bitte könnte jemand eine präzise, relevante und nicht auf Meinungen basierende, faktenbasierte Antwort geben :)
gufw
, um die Einrichtung zu erleichtern.Antworten:
Die Frage hat sich erheblich geändert
Neue Antwort
Die TITEL-Frage
Die meisten Ubuntu-Benutzer zu Hause müssen oder verwenden diese nicht
ufw
. Beideufw
undiptables
sind standardmäßig installiert und so konfiguriert, dass sie nichts tun. Warum keine Notwendigkeit besteht, wird nachstehend ausführlicher erläutert.Die andere Frage 1:
Die Aussage ist falsch
Die Anweisung besteht eigentlich aus zwei Anweisungen, die durch und verbunden sind . Wenn also nur ein Teil der gesamten Aussage falsch ist, ist die gesamte Aussage falsch. Lassen Sie es uns zusammenfassen:
Der obige Teil ist wahr.
Schauen wir uns nun den anderen Teil an:
Der obige Teil ist falsch.
Bei der Standard-Ubuntu-Desktop-Installation sind keine Ports geöffnet und es werden keine Server ausgeführt. Daher ist es, obwohl
iptables
es standardmäßig in Desktop-Ubuntu installiert ist, nicht für irgendetwas konfiguriert. Das heißt, für die Standard-Firewall sind keine Regeln festgelegt.Daher
iptable
ist konfiguriert, um nichts zu tun, wenn Sie Ubuntu installieren.Die andere Frage 2:
Erklärungen für nmap und gufw image (ich denke das ist was du willst)
Ihre nmap zeigt, dass nur zwei offene Ports für 127.0.0.1 geöffnet sind. Dies ist eine spezielle IP-Adresse, die sich auf den Computer selbst bezieht. Das heißt, der Computer selbst kann über diese beiden offenen Ports mit sich selbst kommunizieren.
Der
gufw
Screenshot zeigt, dass keine Firewall-Regeln eingerichtet sind. Da Sie es jedoch installiertgufw
und angeklickt haben,ufw
ist es ebenfalls installiert (gufw verwendet ufw) und ufw ist aktiv. Die oben erwähnte Standardkonfiguration ufw, verweigern (eingehend) und zulassen (ausgehend) funktioniert. Diese Regeln gelten jedoch nicht für den Computer selbst, dh 127.0.0.1. Dies ist (nicht notwendig, aber) ausreichend für einen Heimanwender.Ursprüngliche Antwort ==>
Durchschnittliche Heimanwender benötigen keine Firewall
Bei der Standard-Ubuntu-Desktop-Installation sind keine Ports geöffnet und es werden keine Server ausgeführt. Wenn Sie keinen Server-Daemon wie den SSH-Server ausführen, benötigen Sie daher keine Firewall. Daher ist iptable so konfiguriert, dass bei der Installation von Ubuntu nichts unternommen wird. Siehe Muss ich die Firewall aktivieren? Ich benutze Ubuntu nur für den Heim-Desktop? für Details.
Wenn Sie Server ausführen, benötigen Sie eine Firewall
Wenn Sie kein durchschnittlicher Heimanwender sind und einige fortgeschrittene Aufgaben ausführen möchten, z. B. den Remotezugriff auf Ihren Desktop per SSH oder die Ausführung anderer Dienste, benötigen Sie eine Firewall. Ihre Konfiguration der Firewall hängt davon ab, welche Server-Daemons Sie ausführen möchten.
Auch wenn Sie nicht vorhaben, einen Server auszuführen, möchten Sie möglicherweise eine Firewall mit der Standardkonfiguration "Alle eingehenden Verbindungen von allen Ports verweigern". Dies ist doppelt sicher, falls Sie eines Tages einen Server installieren und ausführen möchten, ohne zu bemerken, was Sie tun. Ohne Änderung der Standard-Firewall-Konfiguration funktioniert der Server nicht wie erwartet. Sie werden sich stundenlang am Kopf kratzen, bevor Sie sich daran erinnern, dass Sie die Firewall aktiviert haben. Dann möchten Sie möglicherweise die Serversoftware deinstallieren, da sich das Risiko möglicherweise nicht lohnt. Oder Sie möchten die Firewall so konfigurieren, dass der Server funktioniert.
gufw
ist am einfachstengufw ist eine GUI-Schnittstelle für
ufw
, die wiederum die konfiguriertiptables
. Da Sie Linux seit den 1990er Jahren verwenden, sind Sie möglicherweise mit der Befehlszeile vertraut oder bevorzugen die visuellen Hinweise einer GUI. Wenn Sie eine GUI mögen, dann verwenden Siegufw
. Es ist selbst für Anfänger leicht zu verstehen und zu konfigurieren.ufw
ist einfachWenn Ihnen die Befehlszeile gefällt,
ufw
ist das einfach genug.iptables
ist nicht so einfachDer Grund, warum wir nicht möchten, dass jemand direkt mit den iptables herumspielt und sie verwendet
ufw
oder verwendet,gufw
ist, dass es sehr leicht zu vermasseln istiptables
und das System so stark kaputt gehen kann, dass es unbrauchbar wird. Deriptables-apply
Befehl verfügt über einige integrierte Sicherheitsvorkehrungen, um die Benutzer vor ihren Fehlern zu schützen.Hoffe das hilft
quelle
iptables-apply
- eine sicherere Möglichkeit, iptables aus der Ferne zu aktualisierenIch gebe diese Antwort selbst, da ich nicht von Leuten überzeugt war, die darauf bestehen, dass Sie keine Firewall benötigen, Sie keine offenen Ports haben ... und ich werde sie nicht als akzeptiert markieren, obwohl ich sie selbst akzeptiere, überlasse ich sie dem Gemeinschaft darüber abzustimmen, ob dies die Antwort sein sollte.
Alles, was ich jedem sagen würde, der Ubuntu Desktop verwendet und auf diese Frage stößt, wenn Sie sich bei einer Firewall nicht sicher sind, weil Sie wie ich selbst gesehen haben, dass es so viele widersprüchliche Ansichten zu diesem Thema gibt, dann ist mein Rat einfach weiterzumachen Verwenden Sie eine Firewall, ich empfehle ufw, und wenn Sie eine Benutzeroberfläche möchten, verwenden Sie Gufw, denn wenn alles gesagt und getan ist, können Sie der Verwendung keinen Schaden zufügen, auch wenn Sie sich nur ein wenig Gedanken machen.
Ich habe mich schließlich zur Klärung an die offizielle Ubuntu-Dokumentation gewandt und den folgenden Artikel gefunden. Nachdem ich versucht habe, Antworten zu finden, würde ich Ihnen empfehlen, diesen Artikel zu lesen, da er sehr sinnvoll ist und meine Fragen und Unterfragen beantwortet, und ich denke, ich werde jetzt in Ordnung sein;)
https://help.ubuntu.com/community/DoINeedAFirewall
Hier ist ein Auszug aus dem obigen Artikel:
Ich habe keine offenen Ports, daher brauche ich keine Firewall, oder?
Nicht wirklich. Dies ist ein weit verbreitetes Missverständnis. Lassen Sie uns zunächst verstehen, was ein offener Port tatsächlich ist. Ein offener Port ist ein Port, an den ein Dienst (wie SSH) gebunden ist und der ihn abhört. Wenn der SSH-Client versucht, mit dem SSH-Server zu kommunizieren, sendet er ein TCP-SYN-Paket an den SSH-Port (standardmäßig 22), und der Server erkennt dies und erstellt so eine neue Verbindung. Hier beginnt das Missverständnis, wie eine Firewall Ihnen helfen kann. Einige Benutzer gehen davon aus, dass keine Verbindung hergestellt werden kann, da Sie keine Dienste ausführen. Sie benötigen also keine Firewall. Wenn dies die einzigen Dinge wären, über die Sie nachdenken müssten, wäre dies vollkommen akzeptabel.Dies ist jedoch nur ein Teil des Bildes. Dort spielen zwei zusätzliche Faktoren eine Rolle. Erstens, wenn Sie keine Firewall verwenden, weil Sie keine offenen Ports haben, lähmen Sie Ihre eigene Sicherheit, denn wenn eine Anwendung, die Sie haben, ausgenutzt wird und Code ausgeführt wird, kann ein neuer Socket erstellt und an einen beliebigen gebunden werden Hafen. Der andere wichtige Faktor hierbei ist, dass Sie, wenn Sie keine Firewall verwenden, auch keinerlei Kontrolle über den ausgehenden Datenverkehr haben. Im Zuge einer ausgenutzten Anwendung kann ein Angreifer anstelle eines neuen Sockets und eines gebundenen Ports eine umgekehrte Verbindung zu einem bösartigen Computer herstellen. Ohne vorhandene Firewall-Regeln wird diese Verbindung ungehindert hergestellt.
quelle
iptables ist Teil des TCP / IP-Netzwerkstapels. Wenn Sie * Nix haben, haben Sie IPTABLES. Wenn Sie sich in einem IP-Netzwerk befinden, die Firewall aktiviert oder deaktiviert ist, verwenden Sie unabhängig davon iptables.
ufw ist eine * Nix-Anwendung (dh die Verwendung von iptables ). Es basiert auf einer Shell-Konsole, ist aber nicht so schwer zu bedienen. Es kann ein- und ausgeschaltet werden. Sie können iptables nicht deaktivieren, da Standardrouten für das Internet (0.0.0.0), den lokalen Loopback (127.0.0.0), den lokalen Host (192.168.0.0) und die automatische Adressierung (169.254.0.0) vorhanden sein müssen. Wie Sie sehen können, wird iptables in den Netzwerkstapel eingebrannt. Sie können es nicht vermeiden, selbst wenn Sie wollten.
ufw kann iptables-Einträge in der Matrix bequem über die Shell-Konsole ändern. Es ist möglich, die IP-Routen von iptables manuell zu bearbeiten, aber ich werde es nicht empfehlen, da dies bestenfalls fehleranfällig ist. Stellen Sie sich ufw als Werkzeug zum Bearbeiten der IP-Routentabellen vor.
So komfortabel ich auch mit der Shell-Konsole sein mag, ich empfehle dennoch die Einfachheit von gufw , dem grafischen "Wrapper" für ufw, der auf iptables sitzt.
Ich mag die Einfachheit, insbesondere das Hinzufügen von Firewall-Profilen von Anwendungen wie Medienservern oder Bittorrent-Apps. Was mir das Leben leichter macht, verdient mein Lob.
Um Ihre geänderte Frage zu beantworten, schützt IPTABLES Ihr Netzwerk nicht, wenn es alleine gelassen wird. Es ist nicht zum Blockieren, Filtern, Deaktivieren oder Zulassen bestimmter Ports vorgesehen, die die IP-Routentabellen durchlaufen. Verwenden Sie ufw + gufw, wenn Sie nur bestimmte Ports oder Portbereiche zulassen / blockieren möchten, die wiederum die IP- Routentabelle dynamisch bearbeiten.
quelle