仮定しましょう：

• Ubuntu / Linux OSの内部動作に関する知識はほとんど、またはまったくありません。私が知っているのは、Windowsの経験からです。インターネットに接続する前にファイアウォールを設定して実行する必要があります。開いた。
• Ubuntu デスクトップ 18.04 LTSに移行し、初めてログインしたばかりです。パソコンをインターネットに接続する前にシステムを保護したい。

（注意：デスクトップという言葉に重点を置いていることに注意してください。サーバーへの参照は質問に関係しないため、無関係です）

そして、この主題に関するいくつかの研究の後、私はこれをよく理解しています：

a。ufwはUbuntuのデフォルトのファイアウォール「構成ツール」ですか？（実際のファイアウォールではなく設定ツールと表示されていることに注意してください）ufwはインストールされていますが、実行されておらず、まったく設定されていないため、デフォルトのルールは設定されていません。

b。GufwはufwのUIですが、デフォルトではインストールされていません。少なくともUbuntu Desktop 18.04 LTSの場合はそうです。

c。iptablesは、モジュールとしてカーネルに組み込まれている実際のファイアウォールです。

この時点で、abcのように簡単にufwを設定できるため、その名前を使用し、開始点として、拒否（着信）、許可（発信）を設定し、起動する必要があります。 Gufwもこれを行う。だから、そこに置いてそれをするだけでいい。

しかし、すべての調査の後、私は多くの意見と意見を持つ主題に関する多くの記事、質問、ブログを見つけます、それらの多くはファイアウォールを必要としない、開いているポートがないと述べていますが、確かにいくつかのポートはインターネットに接続すると開きますか？つまり、デバイスをネットワークに接続して双方向のトラフィック接続を開きますが、読んだ情報はすべて不明瞭で曖昧にするためのものであるため、すべての情報を消化して意味を理解してから削減しますそれを1つのステートメントにまとめたので、簡単に言えば私は推測します：

Ubuntuデスクトップユーザーは、ufwを必要としません。これは、実際のファイアウォールであるiptablesの構成ツールにすぎないためです。

したがって、上記の文を文字どおりに受けとると、次の文は本当ですか？

iptablesは、Ubuntuデスクトップ用のビルトインファイアウォールであり、完全に構成されており、標準のデスクトップユーザーにとって十分に安全なデフォルトルールですぐに使用できます。

上記が当てはまる場合、すべてのアカウントが複雑であり、さらに専門家は、iptablesへの複雑でないインターフェースを提供することを除いて、ufwのポイントになると思います誤って設定されていると、システムが安全でなくなったり、使用できなくなったりする可能性がありますか？

以下に、ファイアウォール設定とともにシステムのnmapスキャンを行い、システムの開いているポートを示します。

誰かが簡潔で関連性のある、意見のない、事実に基づいた答えを提供してください:)

質問はかなり変わった

新しい回答

TITLEの質問

新しいUbuntuデスクトップ18.04 LTSユーザーufwとして、ファイアウォールに使用する必要がありますか、それともiptablesで十分ですか？

ほとんどのホームUbuntuユーザーはを使用する必要も、使用する必要もありませんufw。どちらufwとiptablesデフォルトでインストールされていると何もしないように設定されています。なぜ必要ないのか、以下で詳しく説明します。

その他の質問1：

したがって、上記の文を文字どおりに受けとると、次の文は本当ですか？

iptablesは、Ubuntuデスクトップ用の組み込みファイアウォールであり、完全に構成されており、デフォルトのルールで完全に構成され、デフォルトのルールで実行されます。

ステートメントは偽です

文は、実際にで結合された2つの文であると。したがって、ステートメント全体の一部のみが偽である場合、ステートメント全体は偽です。分解しましょう：

iptables Ubuntuデスクトップ用のビルトインファイアウォールです

上記の部分は真実です。

次に、他の部分を見てみましょう。

iptables は、完全に構成されており、標準のデスクトップユーザーにとって十分に安全なデフォルトルール、つまり拒否（着信）、許可（発信）を使用して、すぐに使用できます。

上記の部分は偽です。

デフォルトのUbuntuデスクトップインストールでは、ポートが開いておらず、サーバーが実行されていません。そのため、iptablesデスクトップUbuntuにはデフォルトでインストールされていますが、何もするようには構成されていません。つまり、デフォルトのファイアウォールにはルールが設定されていません。

したがって、iptableUbuntuのインストール時に何もしないように構成されています。

その他の質問2：

nmapおよびgufwイメージの説明（これがあなたが望むものだと思います）

nmapは、2つの開いているポートが127.0.0.1に対してのみ開いていることを示しています。これは、コンピューター自体を指す特別なIPアドレスです。つまり、コンピューター自体は、これらの2つの開いているポートを使用して自分自身と通信できます。

gufwファイアウォールルールの設定がないことをスクリーンショットを示しています。ただし、インストールgufwしてクリックしたので、ufwインストールも行われ（gufwはufwを使用します）、ufwはアクティブになります。上記のデフォルトのufw構成、拒否（着信）および許可（発信）が機能しています。ただし、これらのルールはコンピューター自体、つまり127.0.0.1には適用されません。これは（必須ではありませんが）ホームユーザーには十分です。

元の回答==>

平均的なホームユーザーはファイアウォールを必要としません

デフォルトのUbuntuデスクトップインストールでは、ポートが開いておらず、サーバーが実行されていません。したがって、sshサーバーなどのサーバーデーモンを実行しない場合、ファイアウォールは必要ありません。したがって、iptableは、Ubuntuのインストール時に何もしないように構成されています。ファイアウォールをアクティブにする必要がありますか？を参照してください。Ubuntuはホームデスクトップでのみ使用しますか？詳細については。

サーバーを実行する場合、ファイアウォールが必要です

平均的なホームユーザーではなく、sshでデスクトップにリモートアクセスしたり、他のサービスを実行したりするなど、高度なことをしたい場合は、ファイアウォールが必要です。ファイアウォールの構成は、実行する予定のサーバーデーモンによって異なります。

サーバーを実行する予定がない場合でも、すべてのポートからのすべての着信接続を拒否するデフォルト構成のファイアウォールが必要になる場合があります。これは、ある日、何をしているのか分からずにサーバーをインストールして実行したい場合に備えて、二重に安全であることです。デフォルトのファイアウォール構成を変更しないと、サーバーは期待どおりに機能しません。ファイアウォールをアクティブにしたことを思い出す前に、何時間も頭をかきます。その後、リスクに見合う価値がないため、サーバーソフトウェアをアンインストールすることもできます。または、サーバーが機能するようにファイアウォールを構成することもできます。

gufw 最も簡単です

gufwはのためのGUIインターフェイスでufw順番に設定し、iptables。1990年代からLinuxを使用しているので、コマンドラインに慣れているか、GUIの視覚的なキューを好むかもしれません。GUIが好きなら、を使用してくださいgufw。初心者でも簡単に理解して設定できます。

ufw は簡単だ

コマンドラインが好きなら、ufw十分簡単です。

iptables それほど簡単ではない

誰にも直接iptables をいじらせufwたり使用したりしたくない理由はgufw、台無しにするのは非常に簡単でiptables、一度やるとシステムがひどく壊れて使用できなくなる可能性があるためです。このiptables-applyコマンドには、ユーザーをミスから保護するための保護機能が組み込まれています。

お役に立てれば

私はこの答えを自分で提供しています。ファイアウォールを必要としないと主張している人々に納得していないため、あなたは開いているポートを持っていません...そして私はそれを受け入れますが、私はそれを受け入れますが、私はそれを任せますこれが答えになるべきかどうかに投票するコミュニティ。

この質問に出くわしたUbuntu Desktopを使用している人に私が言うことはすべて、ファイアウォールについてよくわからない場合、私のようにこのテーマに関して非常に多くの相反する意見があるので、私のアドバイスは先に進みますファイアウォールを使用し、UFWをお勧めします。UIが必要な場合はGufwを使用します。すべてを言って完了したら、たとえそれがすべてを念頭に置いていても、それを使用しても害はありません。

最終的には明確化のために公式のUbuntuドキュメントに目を向け、次の記事を見つけましたが、答えを見つけようとする私の経験の後、この記事を読むことをお勧めします今は大丈夫です;）

https://help.ubuntu.com/community/DoINeedAFirewall

上記の記事の抜粋を次に示します。

開いているポートがないので、ファイアウォールは必要ありませんか？

まあ、そうでもない。これはよくある誤解です。最初に、開いているポートが実際に何であるかを理解しましょう。開いているポートは、サービス（SSHなど）がバインドされてリッスンしているポートです。SSHクライアントがSSHサーバーと通信しようとすると、SSHポート（デフォルトでは22）にTCP SYNパケットが送信され、サーバーはそれを確認し、新しい接続を作成します。ファイアウォールがどのように役立つかについての誤解はここから始まります。一部のユーザーは、サービスを実行していないため、接続を確立できないと想定しています。したがって、ファイアウォールは必要ありません。これらがあなたが考える必要がある唯一のものであるなら、これは完全に受け入れられるでしょう。ただし、これは写真の一部にすぎません。そこには、さらに2つの要因が関係しています。1つは、開いているポートがないことに基づいてファイアウォールを利用しない場合、所有しているアプリケーションが悪用されコード実行が発生すると新しいソケットが作成され、任意のポートにバインドされるため、独自のセキュリティが損なわれます港。ここでのもう1つの重要な要素は、ファイアウォールを利用していない場合は、アウトバウンドトラフィック制御もまったく行われないことです。悪用されたアプリケーションをきっかけに、新しいソケットが作成されポートがバインドされる代わりに、攻撃者が利用できる別の代替手段は、悪意のあるマシンへの逆接続を作成することです。ファイアウォールルールが設定されていないと、この接続は妨げられずに通過します。

iptablesは、TCP / IPネットワークスタックの一部です。* Nixがある場合、IPTABLESがあります。IPネットワーク上にあり、ファイアウォールが有効または無効になっている場合、iptablesを使用しています。

UFWは、（使用して意味の上の* nixのアプリケーションである iptablesの）。シェルコンソールベースですが、使用するのはそれほど難しくありません。オン/オフを切り替えることができます。インターネット（0.0.0.0）、ローカルループバック（127.0.0.0）、ローカルホスト（192.168.0.0）、および自動アドレス指定（169.254.0.0）のデフォルトルートが必要であるため、iptablesを無効にすることはできません。ご覧のとおり、 iptablesはネットワークスタックに組み込まれています。望んでも避けられません。

ufwは、シェルコンソールの快適さからマトリックス内のiptablesエントリを変更できます。iptables IPルートを手動で編集することは可能ですが、それはせいぜいエラーが発生しやすいのでお勧めしません。ufwは、IPルートテーブルを編集するためのツールと考えてください。

私はシェルコンソールとなり得るような快適な、私はまだのシンプルさをお勧めしますgufw iptablesの上に座っているUFWためのグラフィカルな「ラッパー」です。

メディアサーバーやBitTorrentアプリなど、アプリケーションのファイアウォールプロファイルを追加するのが特に簡単です。私の人生を楽にするものは何でも私の称賛を得ます。

したがって、変更された質問に答えるために、IPTABLESは、単独で放置された場合、ネットワークを保護しません。IPルートテーブルを通過する特定のポートをブロック、フィルタリング、無効化、または許可するようには設計されていません。IPルートテーブルを動的に編集する特定のポートまたはポート範囲のみを許可/ブロックする場合は、ufw + gufwを使用します。