新しいUbuntuデスクトップ18.04 LTSユーザーとして、ファイアウォールにufwを使用する必要がありますか、それともiptablesで十分ですか?[閉まっている]


12

仮定しましょう:

  • Ubuntu / Linux OSの内部動作に関する知識はほとんど、またはまったくありません。私が知っているのは、Windowsの経験からです。インターネットに接続する前にファイアウォールを設定して実行する必要があります。開いた。
  • Ubuntu デスクトップ 18.04 LTSに移行し、初めてログインしたばかりです。パソコンをインターネットに接続する前にシステムを保護したい。

(注意:デスクトップという言葉に重点を置いていることに注意してください。サーバーへの参照は質問に関係しないため、無関係です)

そして、この主題に関するいくつかの研究の後、私はこれをよく理解しています:

a。ufwはUbuntuのデフォルトのファイアウォール「構成ツール」ですか?(実際のファイアウォールではなく設定ツールと表示されていることに注意してください)ufwはインストールされていますが、実行されておらず、まったく設定されていないため、デフォルトのルールは設定されていません。

b。GufwはufwのUIですが、デフォルトではインストールされていません。少なくともUbuntu Desktop 18.04 LTSの場合はそうです。

c。iptablesは、モジュールとしてカーネルに組み込まれている実際のファイアウォールです。

この時点で、abcのように簡単にufwを設定できるため、その名前を使用し、開始点として、拒否(着信)、許可(発信)を設定し、起動する必要があります。 Gufwもこれを行う。だから、そこに置いてそれをするだけでいい。

しかし、すべての調査の後、私は多くの意見と意見を持つ主題に関する多くの記事、質問、ブログを見つけます、それらの多くはファイアウォールを必要としない、開いているポートがないと述べていますが、確かにいくつかのポートはインターネットに接続すると開きますか?つまり、デバイスをネットワークに接続して双方向のトラフィック接続を開きますが、読んだ情報はすべて不明瞭で曖昧にするためのものであるため、すべての情報を消化して意味を理解してから削減しますそれを1つのステートメントにまとめたので、簡単に言えば私は推測します:

Ubuntuデスクトップユーザーは、ufwを必要としません。これは、実際のファイアウォールであるiptablesの構成ツールにすぎないためです。

したがって、上記の文を文字どおりに受けとると、次の文は本当ですか?

iptablesは、Ubuntuデスクトップ用のビルトインファイアウォールであり、完全に構成されており、標準のデスクトップユーザーにとって十分に安全なデフォルトルールですぐに使用できます。

上記が当てはまる場合、すべてのアカウントが複雑であり、さらに専門家は、iptablesへの複雑でないインターフェースを提供することを除いて、ufwのポイントになると思います誤って設定されていると、システムが安全でなくなったり、使用できなくなったりする可能性がありますか?

以下に、ファイアウォール設定とともにシステムのnmapスキャンを行い、システムの開いているポートを示します。 ここに画像の説明を入力してください

誰かが簡潔で関連性のある、意見のない、事実に基づいた答えを提供してください:)


gufwこの設定を支援するためにインストールするのが最も簡単です。
ヘネマ

これで不明な点は何ですか?askubuntu.com/questions/178616/…–
パイロット

ネットワークサービスを実行していない場合、ファイアウォールは必要ありません。そのため、どのように、どのように構成されていてもかまいません。
Pilot6

1
答えに追加しました。この時点で、これはディスカッションフォーラムではなく質問回答サイトであることを思い出してください。古いコンポーネントに回答するため、新しいコンポーネントを質問に追加しないでください。これを続けると、質問が広すぎるので閉じられる場合があります。新しいフォローアップの質問をし、必要に応じてこの質問を参照してください。
user68186

「この質問に対する答えは、事実ではなく意見にほぼ基づいている傾向がある」という推測に基づいて、この質問が保留にされていることに失望しています。それは単なる別の意見ではありませんか?それが、私が質問に非意見の事実に基づいた答えを提供するように頼んだときに述べた理由です。公式のubuntuドキュメントからの答えも事実に基づいていないのでしょうか?この質問の表示回数は630回だったので、明らかに回答に興味のある人がたくさんいます。

回答:


14

質問はかなり変わった

新しい回答

TITLEの質問

新しいUbuntuデスクトップ18.04 LTSユーザーufwとして、ファイアウォールに使用する必要がありますか、それともiptablesで十分ですか?

ほとんどのホームUbuntuユーザーはを使用する必要も、使用する必要もありませんufw。どちらufwiptablesデフォルトでインストールされていると何もしないように設定されています。なぜ必要ないのか、以下で詳しく説明します。

その他の質問1:

したがって、上記の文を文字どおりに受けとると、次の文は本当ですか?

iptablesは、Ubuntuデスクトップ用の組み込みファイアウォールであり、完全に構成されており、デフォルトのルールで完全に構成され、デフォルトのルールで実行されます。

ステートメントは偽です

文は、実際にで結合された2つの文である。したがって、ステートメント全体の一部のみが偽である場合、ステートメント全体は偽です。分解しましょう:

iptables Ubuntuデスクトップ用のビルトインファイアウォールです

上記の部分は真実です。

次に、他の部分を見てみましょう。

iptables は、完全に構成されており、標準のデスクトップユーザーにとって十分に安全なデフォルトルール、つまり拒否(着信)、許可(発信)を使用して、すぐに使用できます。

上記の部分は偽です。

デフォルトのUbuntuデスクトップインストールでは、ポートが開いておらず、サーバーが実行されていません。そのため、iptablesデスクトップUbuntuにはデフォルトでインストールされていますが、何もするようには構成されていません。つまり、デフォルトのファイアウォールにはルールが設定されていません。

したがって、iptableUbuntuのインストール時に何もしないように構成されています。

その他の質問2:

nmapおよびgufwイメージの説明(これがあなたが望むものだと思います)

nmapは、2つの開いているポートが127.0.0.1に対してのみ開いていることを示しています。これは、コンピューター自体を指す特別なIPアドレスです。つまり、コンピューター自体は、これらの2つの開いているポートを使用して自分自身と通信できます。

gufwファイアウォールルールの設定がないことをスクリーンショットを示しています。ただし、インストールgufwしてクリックしたので、ufwインストールも行われ(gufwはufwを使用します)、ufwはアクティブになります。上記のデフォルトのufw構成、拒否(着信)および許可(発信)が機能しています。ただし、これらのルールはコンピューター自体、つまり127.0.0.1には適用されません。これは(必須ではありませんが)ホームユーザーには十分です。

元の回答==>

平均的なホームユーザーはファイアウォールを必要としません

デフォルトのUbuntuデスクトップインストールでは、ポートが開いておらず、サーバーが実行されていません。したがって、sshサーバーなどのサーバーデーモンを実行しない場合、ファイアウォールは必要ありません。したがって、iptableは、Ubuntuのインストール時に何もしないように構成されています。ファイアウォールをアクティブにする必要がありますか?を参照してください。Ubuntuはホームデスクトップでのみ使用しますか?詳細については。

サーバーを実行する場合、ファイアウォールが必要です

平均的なホームユーザーではなく、sshでデスクトップにリモートアクセスしたり、他のサービスを実行したりするなど、高度なことをしたい場合は、ファイアウォールが必要です。ファイアウォールの構成は、実行する予定のサーバーデーモンによって異なります。

サーバーを実行する予定がない場合でも、すべてのポートからのすべての着信接続を拒否するデフォルト構成のファイアウォールが必要になる場合があります。これは、ある日、何をしているのか分からずにサーバーをインストールして実行したい場合に備えて、二重に安全であることです。デフォルトのファイアウォール構成を変更しないと、サーバーは期待どおりに機能しません。ファイアウォールをアクティブにしたことを思い出す前に、何時間も頭をかきます。その後、リスクに見合う価値がないため、サーバーソフトウェアをアンインストールすることもできます。または、サーバーが機能するようにファイアウォールを構成することもできます。

gufw 最も簡単です

gufwはのためのGUIインターフェイスでufw順番に設定し、iptables。1990年代からLinuxを使用しているので、コマンドラインに慣れているか、GUIの視覚的なキューを好むかもしれません。GUIが好きなら、を使用してくださいgufw。初心者でも簡単に理解して設定できます。

ufw は簡単だ

コマンドラインが好きなら、ufw十分簡単です。

iptables それほど簡単ではない

誰にも直接iptables をいじらせufwたり使用したりしたくない理由はgufw、台無しにするのは非常に簡単でiptables、一度やるとシステムがひどく壊れて使用できなくなる可能性があるためです。このiptables-applyコマンドには、ユーザーをミスから保護するための保護機能が組み込まれています。

お役に立てれば


OK、あなたが答えるために感謝し、あなたの時間、ご不便のための謝罪が、私が質問と詳細を明確にし、簡素化するために私の質問を書き換える必要があるとしています表示されます

しばらくの間、すべてのコメントと他の質問へのリンクを調べてきたので、私はさらに編集を行ったので、あなたの修正された答えと再び謝罪に感謝します。何らかの理由で答えが私の質問に十分に答えていない、それが私の最終編集です。

1
iptablesには、あなたが説明したロックアウト状況を防ぐメカニズムがあることを指摘したいだけです。ビルトインを使用してiptables-apply-リモートでiptablesを更新するより安全な方法
-jchook

1
@jchookこれについて言及してくれてありがとう。多くの人が私の答えを読んでコメントするほど、新しいことを学ぶことができます。:D
user68186

1

私はこの答えを自分で提供しています。ファイアウォールを必要としないと主張している人々に納得していないため、あなたは開いているポートを持っていません...そして私はそれを受け入れますが、私はそれを受け入れますが、私はそれを任せますこれが答えになるべきかどうかに投票するコミュニティ。

この質問に出くわしたUbuntu Desktopを使用している人に私が言うことはすべて、ファイアウォールについてよくわからない場合、私のようにこのテーマに関して非常に多くの相反する意見があるので、私のアドバイスは先に進みますファイアウォールを使用し、UFWをお勧めします。UIが必要な場合はGufwを使用します。すべてを言って完了したら、たとえそれがすべてを念頭に置いていても、それを使用しても害はありません。

最終的には明確化のために公式のUbuntuドキュメントに目を向け、次の記事を見つけましたが、答えを見つけようとする私の経験の後、この記事を読むことをお勧めします今は大丈夫です;)

https://help.ubuntu.com/community/DoINeedAFirewall

上記の記事の抜粋を次に示します。

開いているポートがないので、ファイアウォールは必要ありませんか?

まあ、そうでもない。これはよくある誤解です。最初に、開いているポートが実際に何であるかを理解しましょう。開いているポートは、サービス(SSHなど)がバインドされてリッスンしているポートです。SSHクライアントがSSHサーバーと通信しようとすると、SSHポート(デフォルトでは22)にTCP SYNパケットが送信され、サーバーはそれを確認し、新しい接続を作成します。ファイアウォールがどのように役立つかについての誤解はここから始まります。一部のユーザーは、サービスを実行していないため、接続を確立できないと想定しています。したがって、ファイアウォールは必要ありません。これらがあなたが考える必要がある唯一のものであるなら、これは完全に受け入れられるでしょう。ただし、これは写真の一部にすぎません。そこには、さらに2つの要因が関係しています。1つは、開いているポートがないことに基づいてファイアウォールを利用しない場合、所有しているアプリケーションが悪用されコード実行が発生すると新しいソケットが作成され、任意のポートにバインドされるため、独自のセキュリティが損なわれます港。ここでのもう1つの重要な要素は、ファイアウォールを利用していない場合は、アウトバウンドトラフィック制御もまったく行われないことです。悪用されたアプリケーションをきっかけに、新しいソケットが作成されポートがバインドされる代わりに、攻撃者が利用できる別の代替手段は、悪意のあるマシンへの逆接続を作成することです。ファイアウォールルールが設定されていないと、この接続は妨げられずに通過します。


1

iptablesは、TCP / IPネットワークスタックの一部です。* Nixがある場合、IPTABLESがあります。IPネットワーク上にあり、ファイアウォールが有効または無効になっている場合、iptablesを使用しています。

UFWは、(使用して意味の上の* nixのアプリケーションである iptablesの)。シェルコンソールベースですが、使用するのはそれほど難しくありません。オン/オフを切り替えることができます。インターネット(0.0.0.0)、ローカルループバック(127.0.0.0)、ローカルホスト(192.168.0.0)、および自動アドレス指定(169.254.0.0)のデフォルトルートが必要であるため、iptablesを無効にすることはできません。ご覧のとおり、 iptablesはネットワークスタックに組み込まれています。望んでも避けられません。

ufwは、シェルコンソールの快適さからマトリックス内のiptablesエントリを変更できます。iptables IPルートを手動で編集することは可能ですが、それはせいぜいエラーが発生しやすいのでお勧めしません。ufwは、IPルートテーブルを編集するためのツールと考えてください。

私はシェルコンソールとなり得るような快適な、私はまだのシンプルさをお勧めしますgufw iptablesの上に座っているUFWためのグラフィカルな「ラッパー」です。

メディアサーバーやBitTorrentアプリなど、アプリケーションのファイアウォールプロファイルを追加するのが特に簡単です。私の人生を楽にするものは何でも私の称賛を得ます。

したがって、変更された質問に答えるためにIPTABLESは、単独で放置された場合、ネットワークを保護しません。IPルートテーブルを通過する特定のポートをブロック、フィルタリング、無効化、または許可するようには設計されていません。IPルートテーブルを動的に編集する特定のポートまたはポート範囲のみを許可/ブロックする場合は、ufw + gufwを使用します。


Ask Ubuntuへようこそ! ;-)あなたの答えは100%正しいですが、そのリンクが移動、変更、別のリンクに統合されたり、メインサイトが消えるだけでも100%役に立たなくなるかもしれません... :-(したがって、あなたの答えを編集してください、そして関連する手順をリンクから回答にコピーして、このサイトの有効期間中に回答を100%保証します!;-)回答の下部にあるリンクをいつでも資料のソースとして残すことができます...
ファビー

このリンクは質問に回答するかもしれませんが、回答の重要な部分をここに含め、参照用のリンクを提供する方が良いでしょう。リンクされたページが変更されると、リンクのみの回答が無効になる可能性があります。
ミッチ
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.