UFW: chính xác nó là gì?

UFW là gì? Bạn sẽ nghĩ rằng đây là một câu hỏi dễ, nhưng tôi càng đọc nhiều nguồn, nó càng không rõ ràng.

Từ viết tắt của FireWall không biến đổi, như thể ufw thực sự tự thực hiện một tường lửa. Và thực sự ở nhiều nơi, nó được gọi là tường lửa, như trong bài viết này .

Trang wiki trợ giúp Ubuntu trên UFW nói rằng UFW là một công cụ cấu hình cho iptables. (Đổi lại, trang wiki trợ giúp trên tường lửa nói rằng iptables là cơ sở dữ liệu của các quy tắc tường lửa và đó cũng là tường lửa thực tế, vì cơ sở dữ liệu là một tường lửa, rõ ràng là sai. Và tất nhiên 'iptables' cũng tên của một chương trình.)

Nếu ufw là một công cụ cấu hình, thì chúng tôi có thể mong đợi nó là một chương trình mà bạn chạy để định cấu hình một cái gì đó và sau khi hoàn thành, bạn thoát khỏi cấu hình đã được thiết lập. Đó là vị trí của câu trả lời được chấp nhận của câu hỏi này: FireWall không biến chứng (ufw) có phải là dịch vụ không?

Nhưng những câu trả lời khác cho câu hỏi đó không đồng ý - không, đó là một dịch vụ. Và thực sự trên máy 18.04 của tôi, tôi thấy rằng ufw đang chạy như một dịch vụ! Tại sao một công cụ cấu hình chạy như một dịch vụ?!

Hơn nữa, systemctl list-units --all --type=servicechương trình ufw.servicelà loaded and active(và còn exited?!) ufw statuscho thấy inactive.

Vậy tình trạng ufw = không hoạt động có nghĩa là gì?

1. Rằng "tường lửa" (bất kể đó là gì) không hoạt động? Đó là những gì tài liệu trang ufw man cho 'status' sẽ đề xuất.

2. Hoặc nó có nghĩa là các quy tắc được cấu hình trong ufw không hoạt động (nhưng các quy tắc khác được định cấu hình trong iptables đang hoạt động)?

3. Hoặc điều đó có nghĩa là ufw bắt đầu khởi động, kích hoạt các quy tắc của nó thành ipconfig (hoặc bất cứ nơi nào họ đi) để bây giờ chúng có hiệu lực, và bây giờ ufw không có gì để làm nên nó không hoạt động?

Quan tâm đặc biệt: Tôi muốn làm theo một số hướng dẫn yêu cầu ban hành một số lệnh iptables, nhưng lo ngại rằng chúng sẽ xung đột với, hoặc bị ghi đè bởi bộ máy ufw.

ufw là một giao diện người dùng cho netfilter / iptables, cơ chế Linux để định tuyến và lọc lưu lượng truy cập internet.

ufw là hoàn toàn tùy chọn và có thể tạo tường lửa và bảng định tuyến trực tiếp bằng cách sử dụng các lệnh iptables. Một số người thích cú pháp của ufw, được cho là làm cho nó dễ dàng hơn một chút.

Bản thân nó không phải là tường lửa, nó là một công cụ để thiết lập cấu hình của netfilter / iptables. Nó được đăng ký như một dịch vụ vì nó cần được chạy mỗi khi máy của bạn khởi động. Tôi không tin rằng nó vẫn còn trong bộ nhớ sau khi nó thực hiện cấu hình này. "Khởi động lại" dịch vụ chỉ cần chạy lại tập lệnh của nó. Không có gì lạ khi những thứ trong bản phân phối Linux được đăng ký dưới dạng dịch vụ mặc dù chúng chỉ là các tập lệnh chạy khi khởi động hoặc tắt máy mà không ở lại giữa.

Nếu bạn sử dụng ufw, bạn không thể đặt quy tắc iptables của riêng mình bằng các tập lệnh của riêng bạn, vì chúng sẽ bị ghi đè khi ufw tự đặt quy tắc. Điều này cũng có nghĩa là ufw có thể xung đột với các công cụ khác đặt quy tắc tường lửa.

Nếu sudo ufw statustrả về "không hoạt động", điều đó có nghĩa là ufw đã bị vô hiệu hóa (và chẳng hạn, sẽ không áp dụng lại bất kỳ quy tắc nào khi khởi động). Bạn cần đảm bảo ufw được bật sudo ufw enable, mặc dù bạn cũng cần cấu hình các quy tắc để điều này có ý nghĩa. Nếu bạn chắc chắn rằng bạn đã kích hoạt ufw nhưng nó trả về "không hoạt động" thì có thể có một số vấn đề khác.

Lưu ý rằng "bắt đầu" dịch vụ không kích hoạt ufw, nó chỉ kích hoạt tập lệnh khởi động. Nếu ufw bị vô hiệu hóa khi tập lệnh khởi động chạy, nó sẽ không làm gì cả.

Bạn có thể biết liệu quy tắc tường lửa của mình đã được áp dụng tại bất kỳ thời điểm nào bằng cách sử dụng iptables trực tiếp chưa:

sudo iptables -L
sudo ip6tables -L