Giả sử:

• Tôi có ít hoặc không có kiến ​​thức về hoạt động bên trong của HĐH Ubuntu / Linux. Tất cả những gì tôi biết là từ kinh nghiệm của tôi về Windows, là tôi phải có một tường lửa được cấu hình và chạy trước khi tôi kết nối với Internet, nếu không hệ thống của tôi sẽ an toàn như đi nghỉ và rời khỏi nhà với tất cả các cửa ra vào và cửa sổ mở.
• Tôi mới chuyển sang máy tính để bàn Ubuntu 18.04 LTS và mới đăng nhập lần đầu tiên. Tôi muốn bảo mật hệ thống của mình trước khi kết nối máy tính với Internet.

(NB: Lưu ý sự nhấn mạnh trên màn hình nền từ , vì vậy mọi tham chiếu đến máy chủ sẽ không phù hợp với câu hỏi và do đó không liên quan)

và sau một số nghiên cứu về chủ đề này, tôi hiểu điều này nhiều:

a. Có phải ufw là "công cụ cấu hình" tường lửa mặc định cho Ubuntu không? (lưu ý rằng nó nói công cụ cấu hình chứ không phải tường lửa thực tế) và ufw đã được cài đặt, nhưng nó không chạy và hoàn toàn không được cấu hình, vì vậy nó không có quy tắc mặc định nào được đặt ra khỏi hộp.

b. Gufw là giao diện người dùng cho ufw, nhưng nó không được cài đặt theo mặc định hoặc ít nhất đó là trường hợp với Ubuntu Desktop 18.04 LTS.

c. iptables là tường lửa thực tế được tích hợp sẵn trong kernel dưới dạng một mô-đun.

Tại thời điểm này, tôi có thể định cấu hình ufw dễ dàng như abc, do đó tên của nó và để sử dụng nó, làm điểm bắt đầu, bạn cần đặt từ chối (đến), cho phép (gửi đi) và khởi động nó, tôi cũng hiểu tôi có thể sử dụng Gufw để làm điều này quá. Vì vậy, tôi chỉ có thể để nó ở đó và làm điều đó.

Tuy nhiên, sau tất cả các nghiên cứu của tôi, tôi tìm thấy nhiều bài viết, câu hỏi và blog về chủ đề này với nhiều quan điểm và ý kiến, nhiều trong số đó nói rằng bạn không cần tường lửa, không có cổng mở, nhưng tôi nghĩ, chắc chắn một số cổng phải mở khi tôi kết nối internet? điều đó có nghĩa là tôi đang kết nối thiết bị của mình với mạng và mở kết nối giao thông hai chiều, nhưng tất cả thông tin tôi đã đọc chỉ phục vụ để làm cho điều này không rõ ràng và mơ hồ, vì vậy tôi tiêu hóa tất cả thông tin đó và cố gắng giảm ý nghĩa của nó đó là một tuyên bố duy nhất và vì vậy một tóm tắt tôi tóm tắt:

Người dùng máy tính để bàn Ubuntu không cần ufw vì đây chỉ là một công cụ cấu hình cho iptables là tường lửa thực tế.

Vì vậy, nói rằng tôi thực hiện các tuyên bố trên theo nghĩa đen, sau đó là tuyên bố sau đây là đúng?:

iptables là tường lửa tích hợp cho Ubuntu Desktop và được cấu hình đầy đủ và chạy ra khỏi hộp với các quy tắc mặc định đủ an toàn cho người dùng máy tính để bàn trung bình.

Bởi vì nếu điều trên là đúng, thì điều gì sẽ là điểm trong ufw ngoại trừ việc cung cấp giao diện không phức tạp cho iptables, bởi tất cả các tài khoản đều phức tạp và hơn nữa các chuyên gia khuyên bạn nên tránh cấu hình trực tiếp iptables vì ​​nếu bạn không biết chính xác điều gì bạn đang làm, bạn có thể dễ dàng khiến hệ thống của mình không an toàn hoặc không sử dụng được, nếu nó bị cấu hình sai?

Đây là bản quét nmap của hệ thống của tôi cùng với cấu hình tường lửa của tôi, hiển thị các cổng mở trên hệ thống của tôi:

Xin ai đó có thể cung cấp một câu trả lời ngắn gọn, có liên quan và không có ý kiến, dựa trên thực tế :)

Câu hỏi đã thay đổi đáng kể

Câu trả lời mới

Câu hỏi TITLE

Là người dùng máy tính để bàn Ubuntu 18.04 LTS mới, tôi có cần sử dụng ufwcho tường lửa hay iptables là đủ?

Hầu hết người dùng Ubuntu tại nhà không cần hoặc sử dụng ufw. Cả hai ufwvà iptablesđược cài đặt theo mặc định và được cấu hình để không làm gì cả. Tại sao không có nhu cầu, được giải thích chi tiết hơn dưới đây.

Câu hỏi khác 1:

Vì vậy, nói rằng tôi thực hiện các tuyên bố trên theo nghĩa đen, sau đó là tuyên bố sau đây là đúng?:

iptables là tường lửa tích hợp cho Ubuntu Desktop và được cấu hình đầy đủ và chạy ra khỏi hộp với các quy tắc mặc định đủ an toàn cho người dùng máy tính để bàn trung bình là từ chối (đến), cho phép (đi).

Tuyên bố là sai

Các tuyên bố thực sự là hai tuyên bố tham gia bởi và . Vì vậy, nếu chỉ một phần của toàn bộ tuyên bố là sai, thì toàn bộ tuyên bố là sai. Hãy phá vỡ nó:

iptables là tường lửa tích hợp cho Ubuntu Desktop

Phần trên là đúng.

Bây giờ hãy xem phần khác:

iptables được cấu hình đầy đủ và chạy và chạy ra khỏi hộp với các quy tắc mặc định đủ an toàn cho người dùng máy tính để bàn trung bình cụ thể là từ chối (đến), cho phép (đi).

Phần trên là sai.

Cài đặt máy tính để bàn Ubuntu mặc định không có cổng mở và không có máy chủ nào chạy. Do đó, mặc dù iptablesđược cài đặt mặc định trong Ubuntu trên máy tính để bàn, nó không được cấu hình để làm bất cứ điều gì. Đó là, tường lửa mặc định không có quy tắc được thiết lập.

Do đó, iptableđược cấu hình để không làm gì khi bạn cài đặt Ubuntu.

Câu hỏi khác 2:

Giải thích cho hình ảnh nmap và gufw (Tôi nghĩ đây là những gì bạn muốn)

Nmap của bạn hiển thị hai cổng mở duy nhất được mở tới 127.0.0.1. Đây là một địa chỉ IP đặc biệt đề cập đến chính máy tính. Đó là, máy tính có thể tự nói chuyện với chính nó bằng hai cổng mở này.

Ảnh gufwchụp màn hình cho thấy không có thiết lập quy tắc tường lửa. Tuy nhiên, vì bạn đã cài đặt gufwvà nhấp vào nó, ufwcũng được cài đặt (gufw sử dụng ufw) và ufw đang hoạt động. Cấu hình ufw mặc định mà bạn đã đề cập ở trên, từ chối (đến) và cho phép (gửi đi) đang hoạt động. Tuy nhiên, các quy tắc này không áp dụng cho chính máy tính, đó là 127.0.0.1. Điều này là (không cần thiết nhưng) đủ cho người dùng gia đình.

Câu trả lời gốc ==>

Người dùng gia đình trung bình không cần tường lửa

Cài đặt máy tính để bàn Ubuntu mặc định không có cổng mở và không có máy chủ nào chạy. Do đó, nếu bạn không chạy bất kỳ trình nền máy chủ nào, chẳng hạn như máy chủ ssh, bạn không cần bất kỳ tường lửa nào. Do đó, iptable được cấu hình để không làm gì khi bạn cài đặt Ubuntu. Xem Tôi có cần kích hoạt tường lửa không? Tôi chỉ sử dụng Ubuntu để sử dụng máy tính để bàn tại nhà? để biết chi tiết.

Nếu bạn chạy máy chủ, bạn cần tường lửa

Nếu bạn không phải là người dùng gia đình trung bình và muốn thực hiện một số điều nâng cao, chẳng hạn như truy cập từ xa máy tính để bàn của bạn bằng ssh hoặc chạy một số dịch vụ khác, thì bạn cần có tường lửa. Cấu hình tường lửa của bạn sẽ phụ thuộc vào trình nền máy chủ nào bạn định chạy.

Ngay cả khi bạn không có kế hoạch chạy máy chủ, bạn có thể muốn có tường lửa với cấu hình mặc định từ chối tất cả các kết nối đến từ tất cả các cổng. Điều này là để an toàn gấp đôi, trong trường hợp, một ngày nào đó bạn muốn cài đặt và chạy một máy chủ mà không nhận ra những gì bạn đang làm. Không thay đổi cấu hình tường lửa mặc định, máy chủ sẽ không hoạt động như mong đợi. Bạn sẽ gãi đầu hàng giờ trước khi nhớ rằng bạn đã kích hoạt tường lửa. Sau đó, bạn có thể muốn gỡ cài đặt phần mềm máy chủ, vì nó có thể không đáng để mạo hiểm. Hoặc bạn có thể muốn cấu hình tường lửa để cho máy chủ hoạt động.

gufw là dễ nhất

gufw là một giao diện GUI ufw, lần lượt cấu hình iptables. Vì bạn đã sử dụng Linux từ những năm 1990, bạn có thể cảm thấy thoải mái với dòng lệnh hoặc bạn có thể thích các tín hiệu trực quan của GUI. Nếu bạn thích một GUI, sau đó sử dụng gufw. Nó rất dễ hiểu và cấu hình ngay cả đối với người mới.

ufw dễ

Nếu bạn thích dòng lệnh, ufwlà đủ dễ dàng.

iptables không dễ dàng như vậy

Lý do chúng tôi không muốn bất kỳ ai sử dụng trực tiếp các iptables và sử dụng ufwhoặc gufwlà bởi vì, nó rất dễ gây rối iptablesvà một khi bạn làm như vậy, hệ thống có thể bị hỏng nặng đến mức có thể không sử dụng được. Các iptables-applylệnh có một số biện pháp bảo vệ built-in để bảo vệ người dùng từ những sai lầm của họ.

Hi vọng điêu nay co ich

Tôi đang tự cung cấp câu trả lời này, vì tôi không bị thuyết phục bởi những người khăng khăng rằng bạn không cần tường lửa, bạn không có cổng mở ... và tôi sẽ không đánh dấu nó chấp nhận mặc dù tôi chấp nhận nó, tôi sẽ để nó cho cộng đồng để bỏ phiếu về việc điều này sẽ là câu trả lời.

Tất cả những gì tôi muốn nói với bất kỳ ai sử dụng Ubuntu Desktop gặp phải câu hỏi này, nếu bạn không chắc chắn về tường lửa, bởi vì giống như tôi, bạn đã thấy rằng có rất nhiều quan điểm trái ngược về chủ đề này, vậy thì lời khuyên của tôi chỉ là tiếp tục và sử dụng tường lửa, tôi khuyên bạn nên ufw và nếu bạn muốn có UI thì hãy sử dụng Gufw, bởi vì khi tất cả được nói và thực hiện, ngay cả khi tất cả những gì nó mang lại cho bạn, bạn không thể làm hại gì khi sử dụng nó.

Cuối cùng tôi đã chuyển sang tài liệu Ubuntu chính thức để làm rõ và tìm thấy bài viết sau và sau kinh nghiệm của tôi khi cố gắng tìm câu trả lời, tôi khuyên bạn nên đọc bài viết này vì nó rất có ý nghĩa và nó trả lời câu hỏi và câu hỏi phụ của tôi và tôi nghĩ rằng tôi tôi sẽ ổn ngay bây giờ;)

https://help.ubfox.com/community/DoINeedAFirewall

Đây là một đoạn trích từ bài viết trên:

Tôi không có cổng mở, vì vậy tôi không cần tường lửa, phải không?

Vâng, không thực sự. Đây là một quan niệm sai lầm phổ biến. Đầu tiên, hãy cho chúng tôi hiểu một cổng mở thực sự là gì. Cổng mở là một cổng có dịch vụ (như SSH) bị ràng buộc và lắng nghe. Khi máy khách SSH cố gắng giao tiếp với máy chủ SSH, nó sẽ gửi gói TCP SYN đến cổng SSH (22 theo mặc định) và máy chủ sẽ ACKnowledge nó, do đó tạo ra một kết nối mới. Quan niệm sai lầm về cách tường lửa có thể giúp bạn bắt đầu ở đây. Một số người dùng cho rằng vì bạn đang chạy không có dịch vụ nên không thể thực hiện kết nối. Vì vậy, bạn không cần tường lửa. Nếu đây là những điều duy nhất bạn cần nghĩ đến, điều này sẽ hoàn toàn chấp nhận được.Tuy nhiên, đây chỉ là một phần của bức tranh. Có hai yếu tố bổ sung đi vào đó. Thứ nhất, nếu bạn không sử dụng tường lửa trên cơ sở rằng bạn không có cổng mở, bạn sẽ làm tê liệt bảo mật của chính mình bởi vì nếu một ứng dụng mà bạn có bị khai thác và việc thực thi mã xảy ra, một ổ cắm mới có thể được tạo và ràng buộc với một tùy ý Hải cảng. Yếu tố quan trọng khác ở đây là nếu bạn không sử dụng tường lửa, bạn cũng không có quyền kiểm soát lưu lượng ra bên ngoài. Theo sau một ứng dụng được khai thác, thay vì một ổ cắm mới được tạo ra và một cổng bị ràng buộc, một kẻ tấn công khác có thể sử dụng là tạo một kết nối ngược trở lại một máy độc hại. Nếu không có bất kỳ quy tắc tường lửa nào, kết nối này sẽ không bị cản trở.

iptables là một phần của ngăn xếp mạng TCP / IP. Nếu bạn có * Nix, bạn có IPTABLES. Nếu bạn đang sử dụng mạng IP, tường lửa được bật hoặc tắt, bạn đang sử dụng iptables, bất kể.

ufw là một ứng dụng * Nix trên đầu trang (nghĩa là sử dụng iptables ). Nó dựa trên giao diện điều khiển shell nhưng không quá khó sử dụng. Nó có thể được bật / tắt. Bạn không thể tắt iptables vì ​​phải có các tuyến mặc định cho Internet (0.0.0.0), loopback cục bộ (127.0.0.0), localhost (192.168.0.0) và tự động đánh địa chỉ (169.254.0.0). Như bạn có thể thấy, iptables được đưa vào ngăn xếp mạng. Bạn không thể tránh nó ngay cả khi bạn muốn.

ufw có thể sửa đổi các mục iptables trong ma trận từ sự thoải mái của giao diện điều khiển shell. Có thể chỉnh sửa các tuyến IP của iptables bằng tay nhưng tôi sẽ không khuyến nghị điều đó vì nó dễ bị lỗi nhất. Hãy nghĩ về ufw như là công cụ để chỉnh sửa các bảng lộ trình IP.

Thoải mái như tôi có thể với bảng điều khiển shell, tôi vẫn đề xuất sự đơn giản của gufw , đó là "trình bao bọc" đồ họa cho ufw nằm trên đỉnh iptables.

Tôi yêu sự đơn giản của nó đặc biệt là thêm các cấu hình tường lửa của ứng dụng như máy chủ phương tiện hoặc ứng dụng bittorrent. Bất cứ điều gì làm cho cuộc sống của tôi dễ dàng kiếm được danh tiếng của tôi.

Vì vậy, để trả lời câu hỏi đã sửa đổi của bạn, IPTABLES sẽ không bảo vệ mạng của bạn nếu chỉ có một mình. Nó không được thiết kế để chặn, lọc, vô hiệu hóa hoặc cho phép một số cổng nhất định đi qua các bảng lộ trình IP. Sử dụng ufw + gufw nếu bạn muốn chỉ cho phép / chặn một số cổng hoặc phạm vi cổng nhất định lần lượt tự động chỉnh sửa bảng lộ trình ip.