web-dev-qa-db-ja.com

新しいUbuntuデスクトップ18.04 LTSユーザーとして、ファイアウォールにufwを使用する必要がありますか、それともiptablesで十分ですか?

仮定しましょう:

  • 私は、Ubuntu/Linux OSの内部動作についてほとんどまたはまったく知識がありません。私が知っているのは、Windowsの経験からです。インターネットに接続する前にファイアウォールを構成して実行する必要があります。それ以外の場合、システムは休暇に出かけてすべてのドアと窓を家に残しておくのと同じくらい安全です。開いた。
  • Ubuntudesktop18.04 LTSに移行したばかりで、初めてログインしたばかりです。 PCをインターネットに接続する前に、システムを保護したい。

(注:単語desktopが強調されているため、serverは質問には関係がないため、無関係です)

そして、このテーマに関するいくつかの研究の後、私はこれだけを理解しています:

a。ufwはUbuntuのデフォルトのファイアウォール「設定ツール」ですか? (実際のファイアウォールではなく、構成ツールを示していることに注意してください)そしてufwはインストールされていますが、実行されておらず、まったく構成されていないため、デフォルトのルールはデフォルトで設定されていません。

b。GufwはufwのUIですが、デフォルトではインストールされていません。少なくとも、Ubuntu Desktop 18.04 LTSの場合はそうです。

c。iptablesは、モジュールとしてカーネルに組み込まれている実際のファイアウォールです。

この時点で、abwと同じように簡単にufwを構成できることを知っています。その名前とそれを使用するには、開始点として、拒否(着信)、許可(発信)、開始する必要があります。また、使用できることも理解しています。 Gufwもこれを行います。だから、そのままにしておけばいいのです。

しかし、私のすべての研究の結果、私は多くの意見や意見を持つ主題に関する多くの記事、質問、ブログを見つけました、それらの多くはファイアウォールを必要としないと述べています、開いているポートはありませんが、確かにいくつかのポートはインターネットに接続したときに開く?つまり、デバイスをネットワークに接続して双方向のトラフィック接続を開いていますが、読んだすべての情報はこれを不明確で曖昧にするのに役立つだけなので、すべての情報を要約して理解し、それを減らしますそれは単一のステートメントに要約されるので、要約すると、

Ubuntuデスクトップユーザーはufwを必要としません。これは、内部の実際のファイアウォールであるiptablesの構成ツールにすぎないためです。

だから私は上記の文を文字通りとると、次の文は本当ですか?:

iptablesは、Ubuntuデスクトップ用の組み込みファイアウォールであり、平均的なデスクトップユーザーに対して十分に安全なデフォルトのルールで完全に構成され、すぐに使用できます。

上記が真である場合、iptablesへの複雑でないインターフェースを提供することを除いてufwのポイントは何ですか?これはすべてのアカウントによって複雑であり、さらに、専門家はiptablesを直接構成しないようにアドバイスしますあなたがやっている、それが誤って構成されている場合、あなたは簡単にあなたのシステムを安全でなく、または使用不能にするかもしれませんか?

これは私のシステムのnmapスキャンと私のファイアウォール設定で、私の上の開いているポートを示していますシステム: enter image description here

誰かが簡潔で、関連性があり、意見がなく、事実に基づいた回答を提供してください:)

12
user927685

質問はかなり変わりました

新しい答え

タイトルの質問

新しいUbuntuデスクトップ18.04 LTSユーザーとして、ファイアウォールにufwを使用する必要がありますか、それともiptablesで十分ですか?

ほとんどのホームUbuntuユーザーは、ufwを使用する必要はありません。 ufwiptablesの両方がデフォルトでインストールされ、何もしないように構成されています。必要がない理由については、以下で詳しく説明します。

その他の質問1:

だから私は上記の文を文字通りとると、次の文は本当ですか?:

iptablesは、Ubuntuデスクトップ用の組み込みファイアウォールであり、平均的なデスクトップユーザー、つまり拒否(受信)、許可(送信)に対して十分に安全なデフォルトのルールで完全に構成され、すぐに使用できます。

ステートメントは偽です

ステートメントは、実際にはで結合された2つのステートメントです。したがって、ステートメント全体の一部だけがfalseの場合、ステートメント全体がfalseになります。分解してみましょう:

iptablesはUbuntuデスクトップ用の組み込みファイアウォールです

上記の部分は真実です。

次に、他の部分を見てみましょう。

iptablesは完全に構成されており、平均的なデスクトップユーザー、つまり拒否(受信)、許可(送信)に対して十分に安全な既定のルールで、すぐに使用できます。

上記の部分は誤りです。

デフォルトのUbuntuデスクトップインストールでは、ポートが開かれておらず、サーバーも実行されていません。したがって、iptablesはデフォルトでデスクトップUbuntuにインストールされていますが、何も実行するように設定されていません。つまり、デフォルトのファイアウォールにはルールが設定されていません。

したがって、iptableはUbuntuのインストール時に何も実行しないように設定されています。

その他の質問2:

Nmapおよびgufwイメージの説明(これはあなたが望むものだと思います)

Nmapは、2つの開いているポートだけが127.0.0.1に対して開いていることを示しています。これは、コンピュータ自体を参照する特別なIPアドレスです。つまり、コンピュータ自体がこれらの2つの開いているポートを使用して自身と通信できます。

gufwスクリーンショットは、ファイアウォールルールが設定されていないことを示しています。ただし、gufwをインストールしてクリックしたため、ufwもインストールされ(gufwはufwを使用)、ufwがアクティブです。上で述べたデフォルトのufw構成、拒否(受信)および許可(送信)が機能しています。ただし、これらのルールはコンピュータ自体には適用されません。つまり、127.0.0.1です。 これは(必須ではありませんが)ホームユーザーには十分です

元の回答==>

平均的なホームユーザーはファイアウォールを必要としません

デフォルトのUbuntuデスクトップインストールでは、ポートが開かれておらず、サーバーも実行されていません。したがって、sshサーバーなどのサーバーデーモンを実行しない場合は、ファイアウォールは必要ありません。したがって、Ubuntuをインストールしてもiptableは何もしないように設定されています。詳細は ファイアウォールをアクティブにする必要がありますか?私はホームデスクトップ用にUbuntuのみを使用していますか? を参照してください。

サーバーを実行する場合、ファイアウォールが必要です

平均的なホームユーザーではなく、sshを使用してデスクトップにリモートアクセスしたり、その他のサービスを実行したりするなど、高度なことをしたい場合は、ファイアウォールが必要です。ファイアウォールの構成は、実行する予定のサーバーデーモンによって異なります。

サーバーを実行する予定がない場合でも、すべてのポートからのすべての着信接続を拒否するデフォルト構成のファイアウォールが必要になる場合があります。これは二重の安全を確保するためです。ある日、自分が何をしているかを理解せずにサーバーをインストールして実行したい場合です。デフォルトのファイアウォール設定を変更しないと、サーバーは期待どおりに機能しません。ファイアウォールをアクティブにしたことを思い出す前に、何時間も頭を掻きます。次に、サーバーソフトウェアをアンインストールすることをお勧めします。リスクを冒す価値がないためです。または、サーバーが機能するようにファイアウォールを構成することもできます。

gufwが最も簡単です

gufwはufwのGUIインターフェイスで、iptablesを構成します。 1990年代からLinuxを使用しているので、コマンドラインに慣れているかもしれませんし、GUIのビジュアルキューを好むかもしれません。 GUIが必要な場合は、gufwを使用してください。初心者でも簡単に理解して設定できます。

ufwは簡単です

コマンドラインが好きなら、ufwで十分簡単です。

iptablesはそれほど簡単ではありません

誰もが直接iptablesをいじって、ufwまたはgufwを使用しないようにする理由は、iptablesをめちゃくちゃにするのは非常に簡単であり、 、システムがひどく壊れて使用できなくなる可能性があります。 iptables-applyコマンドには、ユーザーをミスから保護するための保護機能が組み込まれています。

お役に立てれば

14
user68186

私はこの答えを自分で提供しています。ファイアウォールは必要ないと主張している人々に確信が持てなかったため、開いているポートはありません...そして、私はそれを自分で受け入れますが、私はそれを受け入れます。これが答えであるかどうかについて投票するコミュニティ。

私がそうであるように、ファイアウォールについて確信が持てない場合、この質問に出くわすUbuntuデスクトップを使用するすべての人に私が言うすべてのことは、あなた自身がこの主題について非常に多くの矛盾する見解を持っているため、私のアドバイスは先に進み、ファイアウォールを使用する場合は、ufwをお勧めします。UIが必要な場合はGufwを使用します。すべてのことを言って実行すると、たとえそれがすべてを心に留めていても、それを使用しても害はありません。

私は結局、明確化のために公式のUbuntuドキュメントに目を向け、次の記事を見つけました。私の経験が答えを見つけようとした後、私はこの記事を読むことをお勧めします。今は大丈夫です;)

https://help.ubuntu.com/community/DoINeedAFirewall

上記の記事の抜粋を次に示します。

開いているポートがないので、ファイアウォールは必要ありませんよね?

まあ、そうではありません。これはよくある誤解です。まず、実際に開いているポートとは何かを理解しましょう。開いているポートとは、サービス(SSHなど)がバインドされ、それをリッスンしているポートです。 SSHクライアントがSSHサーバーと通信しようとすると、TCP SYNパケットがSSHポート(デフォルトでは22)に送信され、サーバーはそれを確認して新しい接続を作成します。ファイアウォールがどのように役立つかについての誤解はここから始まります。一部のユーザーは、サービスを実行していないため接続を確立できないと考えています。したがって、ファイアウォールは必要ありません。これらのことだけを検討する必要がある場合は、これは完全に許容できます。ただし、これは全体像の一部にすぎません。そこでは2つの追加の要素が関係します。1つは、ファイアウォールを利用しない場合開いているポートがない場合、使用しているアプリケーションが悪用されてコードが実行されると、新しいソケットが作成されて任意のポートにバインドされる可能性があるため、独自のセキュリティが損なわれます。他の重要な要素は、ファイアウォールには、発信トラフィックの制御も一切ありません。新しいソケットを作成してポートをバインドする代わりに、攻撃者が利用できる別の代替手段は、悪意のあるマシンへの逆接続を作成することです。ファイアウォールルールが設定されていない場合、この接続は妨げられずに通過します。

1
user927685

iptablesは、TCP/IPネットワークスタックの一部です。 * Nixを使用している場合は、IPTABLESを使用しています。 IPネットワーク上でファイアウォールが有効または無効になっている場合は、iptablesを使用しています。

ufwは、* Nixアプリケーション(iptables)。シェルコンソールベースですが、それほど難しくありません。オン/オフできます。 Internet(0.0.0.0)、localのデフォルトルートが必要なため、iptablesを無効にすることはできませんloopback(127.0.0.0)、localhost(192.168.0.0)および自動アドレス指定(169.254.0.0)。ご覧のとおり、iptablesがネットワークスタックにベイクされます。あなたが望んでもそれを避けることはできません。

ufwシェルコンソールの快適さから、マトリックスのiptablesエントリを変更できます。 iptables IPルートを手動で編集することは可能ですが、エラーが発生しやすいのでお勧めしません。 ufwは、IPルートテーブルを編集するためのツールと考えてください。

シェルコンソールを使用する場合と同様に快適ですが、gufwのシンプルさをお勧めします。これは、 iptablesの上に座っているufw。

特に、メディアサーバーやビットトレントアプリなどのアプリケーションのファイアウォールプロファイルを追加することで、そのシンプルさが気に入っています。私の人生を楽にするものは何でも私の賞賛を得ます。

したがって、変更された質問に答えるために、単独で放置するとIPTABLESはネットワークを保護しません。 IPルートテーブルを通過する特定のポートをブロック、フィルタリング、無効化、または許可するようには設計されていません。 IPを動的に編集する特定のポートまたはポートの範囲のみを許可/ブロックする場合は、ufw + gufwを使用しますルートテーブル。

1
quantanglement