Come nuovo utente Ubuntu desktop 18.04 LTS, devo usare ufw per un firewall o iptables è sufficiente? [chiuso]

12

Assumiamo:

  • Ho poca o nessuna conoscenza del funzionamento interno del sistema operativo Ubuntu / Linux. Tutto quello che so è della mia esperienza con Windows, è che devo avere un firewall configurato e funzionante prima di connettermi a Internet, altrimenti il ​​mio sistema sarebbe sicuro quanto andare in vacanza e uscire di casa con tutte le porte e finestre Aperto.
  • Sono appena migrato sul desktop Ubuntu 18.04 LTS e ho appena effettuato l'accesso per la prima volta. Voglio proteggere il mio sistema prima di collegare il mio PC a Internet.

(NB: notare l'enfasi sulla parola desktop , quindi eventuali riferimenti al server non saranno pertinenti alla domanda e quindi irrilevanti)

e dopo alcune ricerche su questo argomento lo capisco molto:

un. Uww è lo "strumento di configurazione" predefinito del firewall per Ubuntu? (nota che dice lo strumento di configurazione e non il firewall effettivo) e ufw è installato, ma non è in esecuzione e non è affatto configurato, quindi non ha regole predefinite.

b. Gufw è un'interfaccia utente da ufw, ma non è installato di default, o almeno è il caso di Ubuntu Desktop 18.04 LTS.

c. iptables è il firewall effettivo integrato nel kernel come modulo.

A questo punto so che posso configurare ufw in quanto è facile come abc, da qui il suo nome e per usarlo, come punto di partenza, devi impostare negare (in entrata), consentire (in uscita) e avviarlo, capisco anche che potrei usare Gufw per fare anche questo. Quindi potrei lasciarlo lì e farlo.

Tuttavia, dopo tutte le mie ricerche, trovo molti articoli, domande e blog sull'argomento con molte opinioni e opinioni, molti dei quali affermano che non è necessario un firewall, non ci sono porte aperte, ma sto pensando, sicuramente alcune porte devono aperto quando mi collego a Internet? il che significa che sto collegando il mio dispositivo a una rete e aprendo una connessione di traffico bidirezionale, ma tutte le informazioni che ho letto servono solo a renderle poco chiare e ambigue, quindi digerisco tutte quelle informazioni e provo a darle un senso, quindi riduco in una sola affermazione e quindi in breve riassumo:

Gli utenti desktop di Ubuntu non hanno bisogno di ufw poiché è semplicemente uno strumento di configurazione per iptables che è il firewall reale sotto il cofano.

Quindi dì che prendo letteralmente la frase sopra, allora la seguente affermazione è vera ?:

iptables è il firewall integrato per Ubuntu Desktop ed è completamente configurato, funzionante e pronto all'uso con regole predefinite sufficientemente sicure per l'utente medio del desktop.

Perché se quanto sopra è vero, quale sarebbe il punto in ufw se non quello di fornire un'interfaccia semplice a iptables, che è complicata da tutti gli account e inoltre gli esperti ti consigliano di evitare la configurazione diretta di iptables poiché se non sai esattamente cosa stai facendo, potresti facilmente rendere il tuo sistema insicuro o inutilizzabile, se è configurato male?

Ecco una scansione nmap del mio sistema insieme alla mia configurazione del firewall, che mostra le porte aperte sul mio sistema: inserisci qui la descrizione dell'immagine

Per favore qualcuno potrebbe fornire una risposta concisa, pertinente e non basata sull'opinione basata sui fatti :)

iptables  firewall  ufw 
fabby
fonte
Il più semplice da installare gufwper facilitare l'impostazione.
heynnema
Cosa non è chiaro in questo? askubuntu.com/questions/178616/…
Pilot6
Non hai bisogno di NESSUN firewall se non hai servizi di rete in esecuzione. Quindi non importa come e cosa è configurato.
Pilota 6
1
Ho aggiunto alla mia risposta. A questo punto devo ricordare che questo è un sito di domande e risposte, non un forum di discussione. Per favore non aggiungere nuovi componenti alla domanda mentre rispondo a quelli vecchi. Se continui a farlo, la domanda potrebbe essere chiusa come troppo ampia. Fai una nuova domanda di follow-up e fai riferimento a questa domanda se ne hai bisogno.
user68186
Sono deluso nel vedere che questa domanda è stata sospesa sulla base della presunzione che "le risposte a questa domanda tenderanno ad essere quasi interamente basate su opinioni, piuttosto che su fatti", non è solo un'altra opinione? Questo è il motivo per cui ho dichiarato quando ho posto la domanda per fornire una risposta basata sui fatti senza opinioni, quindi quello che stai dicendo è che non esiste una risposta definitiva basata sui fatti là fuori? Immagino che la risposta dalla documentazione ufficiale di Ubuntu non sia basata su fatti? Questa domanda ha avuto 630 visualizzazioni, quindi ovviamente ci sono molte persone interessate alla risposta!

Risposte:

14

La domanda è cambiata notevolmente

Nuova risposta

La domanda del titolo

Come nuovo utente Ubuntu desktop 18.04 LTS, devo utilizzare ufwper un firewall o è sufficiente iptables?

La maggior parte degli utenti di Ubuntu domestici non hanno bisogno o uso ufw. Entrambi ufwe iptablessono installati per impostazione predefinita e sono configurati per non fare nulla. Perché non è necessario, viene spiegato più dettagliatamente di seguito.

L'altra domanda 1:

Quindi dì che prendo letteralmente la frase sopra, allora la seguente affermazione è vera ?:

iptables è il firewall integrato per Ubuntu Desktop ed è completamente configurato e funzionante e pronto all'uso con regole predefinite sufficientemente sicure per l'utente medio del desktop, ovvero negare (in entrata), consentire (in uscita).

L'affermazione è falsa

La dichiarazione è in realtà due dichiarazioni unite da e . Quindi, se solo una parte dell'intera affermazione è falsa, allora l'intera affermazione è falsa. Analizziamolo:

iptables è il firewall integrato per Ubuntu Desktop

La parte sopra è vera.

Ora diamo un'occhiata all'altra parte:

iptables è completamente configurato e funzionante e pronto all'uso con regole predefinite sufficientemente sicure per l'utente medio del desktop, ovvero negare (in entrata), consentire (in uscita).

La parte sopra è falsa.

L'installazione desktop di Ubuntu predefinita non ha porte aperte né server in esecuzione. Pertanto, anche se iptablesviene installato di default nel desktop Ubuntu non è configurato per fare nulla. Cioè, il firewall predefinito non ha regole impostate.

Pertanto, iptableè configurato per non fare nulla quando si installa Ubuntu.

L'altra domanda 2:

Spiegazioni per nmap e gufw image (penso che questo sia quello che vuoi)

La tua nmap mostra che le uniche due porte aperte sono aperte a 127.0.0.1. Questo è un indirizzo IP speciale che si riferisce al computer stesso. Cioè, il computer stesso può parlare da solo usando queste due porte aperte.

Lo gufwscreenshot mostra che non è stata impostata alcuna impostazione del firewall. Tuttavia, poiché è stato installato gufwe fatto clic su di esso, ufwviene installato anche (gufw utilizza ufw) e ufw è attivo. La configurazione ufw predefinita che hai menzionato sopra, nega (in entrata) e consenti (in uscita) funziona. Tuttavia, queste regole non si applicano al computer stesso, ovvero 127.0.0.1. Questo è (non necessario ma) sufficiente per un utente domestico.

Risposta originale ==>

Gli utenti domestici medi non hanno bisogno di un firewall

L'installazione desktop di Ubuntu predefinita non ha porte aperte né server in esecuzione. Pertanto, se non si esegue alcun demone server, come ad esempio il server SSH, non è necessario alcun firewall. Pertanto, iptable è configurato per non fare nulla quando si installa Ubuntu. Vedi Devo attivare il firewall? Uso Ubuntu solo per un desktop domestico? per dettagli.

Se si eseguono server è necessario un firewall

Se non sei un normale utente domestico e vuoi fare alcune cose avanzate, come accedere in remoto al desktop tramite ssh o eseguire altri servizi, allora hai bisogno di un firewall. La tua configurazione del firewall dipenderà dai demoni del server che intendi eseguire.

Anche se non si prevede di eseguire un server, è possibile che si desideri un firewall con la configurazione predefinita per negare tutte le connessioni in entrata da tutte le porte. Questo è doppiamente sicuro, nel caso in cui un giorno tu voglia installare ed eseguire un server senza accorgerti di quello che stai facendo. Senza modificare la configurazione del firewall predefinita, il server non funzionerà come previsto. Ti gratterai la testa per ore prima di ricordare che hai attivato il firewall. Quindi potresti voler disinstallare il software del server, in quanto potrebbe non valere la pena rischiare. Oppure potresti voler configurare il firewall per far funzionare il server.

gufw è il più semplice

gufw è un'interfaccia GUI per ufw, che a sua volta configura il file iptables. Dato che usi Linux dagli anni '90, potresti essere a tuo agio con la riga di comando o potresti preferire i segnali visivi di una GUI. Se ti piace una GUI, allora usa gufw. È facile da capire e configurare anche per un principiante.

ufw è facile

Se ti piace la riga di comando, ufwè abbastanza facile.

iptables non è così facile

Il motivo per cui non vogliamo che nessuno giochini direttamente con iptables e utilizzi ufwo gufwè perché, è molto facile sbagliare iptablese una volta fatto, il sistema può rompersi così gravemente da risultare inutilizzabile. Il iptables-applycomando ha alcune protezioni integrate per proteggere gli utenti dai loro errori.

Spero che questo ti aiuti

user68186
fonte
OK grazie per la tua risposta e il tuo tempo, mi scuso per l'inconveniente, ma sembra che dovrò riscrivere la mia domanda per chiarire e semplificare la domanda e i dettagli
Grazie per la tua risposta rivista e ancora scuse da quando ho apportato ulteriori modifiche poiché ho esaminato tutti i commenti e i collegamenti ad altre domande, da qualche tempo e volevo provare a includere tutti i punti che dovevo fare riguardo al perché l'altro le risposte per un motivo o per l'altro non rispondono sufficientemente alla mia domanda e questa è la mia modifica finale.
1
Voglio solo sottolineare che iptables ha un meccanismo per prevenire la situazione di blocco che hai descritto. iptables-apply
Usi
1
@jchook Grazie per averlo menzionato. Più persone leggono e commentano la mia risposta, posso imparare altre cose nuove. : D
user68186
1

Sto fornendo questa risposta da solo, dal momento che non ero convinto dalle persone che insistono sul fatto che non hai bisogno di un firewall, non hai porte aperte ... e non lo segnerò accettato anche se lo accetto da solo, lo lascerò al comunità per votare se questa dovrebbe essere la risposta.

Tutto ciò che direi a chiunque utilizzi Ubuntu Desktop che si imbatte in questa domanda, se non sei sicuro di un firewall, perché come me, hai visto di persona, ci sono così tante opinioni contrastanti su questo argomento, quindi il mio consiglio è solo andare avanti e usa un firewall, ti consiglio ufw e se vuoi un'interfaccia utente allora usa Gufw, perché quando tutto è detto e fatto, anche se tutto ciò che fa è darti un'idea, non puoi fare nulla di male nel usarlo.

Alla fine mi sono rivolto alla documentazione ufficiale di Ubuntu per chiarimenti e ho trovato il seguente articolo e dopo la mia esperienza cercando di trovare risposte, ti consiglierei di leggere questo articolo perché ha molto senso e risponde alla mia domanda e alle mie domande secondarie e penso di ora starò bene;)

https://help.ubuntu.com/community/DoINeedAFirewall

Ecco un estratto dall'articolo sopra:

Non ho porte aperte, quindi non ho bisogno di un firewall, giusto?

Beh, non proprio. Questo è un malinteso comune. Innanzitutto, cerchiamo di capire che cos'è effettivamente una porta aperta. Una porta aperta è una porta che ha un servizio (come SSH) associato e in ascolto. Quando il client SSH tenta di comunicare con il server SSH, invierà un pacchetto TCP SYN alla porta SSH (22 per impostazione predefinita) e il server lo riconoscerà, creando così una nuova connessione. L'idea sbagliata su come un firewall può aiutarti può iniziare qui. Alcuni utenti presumono che poiché non si esegue alcun servizio, non è possibile stabilire una connessione. Quindi non hai bisogno di un firewall. Se queste fossero le uniche cose a cui devi pensare, questo sarebbe perfettamente accettabile.Tuttavia, questa è solo una parte dell'immagine. Ci sono altri due fattori che entrano in gioco lì. In primo luogo, se non si utilizza un firewall in base al fatto che non si dispone di porte aperte, si sta paralizzando la propria sicurezza perché se un'applicazione che si è sfruttata e si verifica l'esecuzione del codice, è possibile creare un nuovo socket e collegarlo a un arbitrario porta. L'altro fattore importante qui è che se non si utilizza un firewall non si ha alcun controllo del traffico in uscita. Sulla scia di un'applicazione sfruttata, anziché creare un nuovo socket e legare una porta, un'altra alternativa che un utente malintenzionato può utilizzare è quella di creare una connessione inversa a una macchina dannosa. Senza regole firewall in atto, questa connessione passerà senza ostacoli.

1

iptables fa parte dello stack di rete TCP / IP. Se hai * Nix hai IPTABLES. Se ci si trova su una rete IP, il firewall è abilitato o disabilitato, si sta utilizzando iptables, indipendentemente.

ufw è anche un'applicazione * Nix (che significa usare iptables ). È basato sulla console della shell ma non è così difficile da usare. Può essere acceso / spento. Non è possibile disabilitare iptables in quanto devono essere presenti percorsi predefiniti per Internet (0.0.0.0), loopback locale (127.0.0.0), localhost (192.168.0.0) e indirizzamento automatico (169.254.0.0). Come puoi vedere, iptables è inserito nello stack di rete. Non puoi evitarlo anche se lo volessi.

uww può modificare le voci di iptables nella matrice comodamente dalla console della shell. È possibile modificare manualmente i percorsi IP di iptables, ma non lo consiglio perché è soggetto a errori. Pensa a ufw come strumento per la modifica delle tabelle di route IP.

Comodo per quanto possa essere con la console shell, consiglio comunque la semplicità di gufw che è il "wrapper" grafico per ufw che si trova in cima a iptables.

Adoro la sua semplicità, in particolare l'aggiunta di profili firewall delle applicazioni come server multimediali o app bittorrent. Qualunque cosa mi renda la vita più facile guadagna i miei complimenti.

Quindi, per rispondere alla tua domanda modificata, IPTABLES non proteggerà la tua rete se lasciata sola. Non è progettato per bloccare, filtrare, disabilitare o consentire determinate porte che attraversano le tabelle di instradamento IP. Utilizzare ufw + gufw se si desidera consentire / bloccare solo determinate porte o un intervallo di porte che a loro volta modificano dinamicamente la tabella di instradamento ip.

quantanglement
fonte
Benvenuto in Ask Ubuntu! ;-) Anche se la tua risposta è corretta al 100%, potrebbe anche diventare inutile al 100% se quel link viene spostato, modificato, unito in un altro o il sito principale scompare ... :-( Pertanto, modifica la tua risposta e copia i passaggi pertinenti dal link nella tua risposta, garantendo così la tua risposta per il 100% della durata di questo sito! ;-) Puoi sempre lasciare il link in fondo alla tua risposta come fonte per il tuo materiale ...
Fabby,
Sebbene questo collegamento possa rispondere alla domanda, è meglio includere qui le parti essenziali della risposta e fornire il collegamento come riferimento. Le risposte di solo collegamento possono diventare non valide se la pagina collegata cambia.
Mitch
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.