まず最初に、すでに言われたことを繰り返します。Debianは、他の多くのメインストリームディストリビューション、特にUbuntuとはかなり異なるユーザーグループに対応しています。Debianは、システムがどのように機能するかを知っており、システムを高度に制御することの見返りとして、時々いじくり回すことを恐れない人々を対象としています。たとえば、Ubuntuは非常に異なるターゲットオーディエンスに対応します。物事を機能させたいだけで、内部で何が起こっているかを(本当に)気にせず、確かに物事を作るためにシステム構成を変更する必要はありません作業。これは、結果のシステムの多くの側面に影響を与えます。そして、ある程度、これはLinuxの美しさの1つです。同じ基本システムを使用して、さまざまなニーズに応える環境を構築できます。UbuntuはDebianの派生物であり、
gufwはDVD1のパッケージにも含まれていません。
最初のディスクには、インストールされたシステムからの匿名統計のオプトイン収集によって決定される、最も一般的なソフトウェアが含まれています。gufwが最初のディスクにないという事実は、これがDebianで(インストールベースに関して)非常に人気のあるパッケージではないことを示しています。また、ネットワークシステムが稼働しているベースシステムがあれば、他のシステムよりも簡単にインストールできます。
ファイアウォールを取得する前にインターネットに接続することを期待されていますか?どうして?
まあ、一つには、Debianはネットワーク経由でのインストールを許可していると思います。(通常のインストール中にネットワークからパッケージをダウンロードするだけでなく、インストールされているホストとは異なるホストから文字通りインストールを開始します。)制限されたルールセットでデフォルトで設定されたファイアウォールは、それを妨げるリスクがあります。インストール中のパッケージの最新バージョンを単にダウンロードする以外の目的で、インストールプロセス中に発信ネットワークアクセスを必要とするインストールでも同じです。
もう1つは、上記で説明したものです。原則として、Debianはあなたが何をしているかを知っていることを期待しています。ファイアウォールが必要な場合は、自分でファイアウォールを設定できることが期待されており、Debianのメンテナーよりもあなたの特定のニーズをよく知っていることが期待されます。Debianはその点でOpenBSDに少し似ていますが、極端ではありません。(ベースシステムをもう少し安全にするか、少し使いやすくするかを選択すると、OpenBSDのメンテナーは事実上常にセキュリティを重視します。これはベースシステムのセキュリティ脆弱性統計に示されていますが、ユーザビリティに大きな影響を与えます。)
そしてもちろん、技術的:ファイアウォールのサポートは基本システムに含まれています。カーネルによってデフォルトで設定されたすべてを許容するルールに設定されているだけで、ベースのDebianインストールはそれを変更するために何もしません。いくつかのコマンドを実行して、トラフィックフローを制限できます。
すべてのポートがデフォルトで閉じられていても、さまざまなインストール、更新、またはダウンロードされたプログラムがそれらを開くことができますか(開かないか?)、許可なくマシンを1ビットでも残さないことを望みます。
まず、ファイアウォールは通常、着信トラフィックを制限するために使用されます。発信を制限する場合交通、それは魚のやや異なるやかんです。確かに実行可能ですが、あなたの特定の状況により多くの調整が必要です。一般的に使用されるポートを開いたままにするデフォルトブロックの発信トラフィックファイアウォール(一般的に使用されるポートはftp / 20 + 21、ssh / 22、smtp / 25、http / 80、https / 443、pop3 / 110、imap / 143および他のバンドル)に加えて、確立されたセッションに関連するトラフィックを許可することは、デフォルト許可ファイアウォールよりもはるかに安全ではありません。基本システムによってインストールされるパッケージのセットは、十分に理解され、配信されたパッケージとして安全に構成されたセットに制限され、それ以上の保護が必要な場合、管理者が適切なファイアウォールルールを設定できるようにすることをお勧めします。
第二に、閉じたポート(TCP RST / ACKでTCP SYNに応答するポート)、通常「接続拒否」として報告されます-これは、通常、TCP / IPをサポートするライブシステム上のTCPポートのデフォルトの状態であり、反対の設定がないか、ソフトウェアがリッスンしている場合)、重大な脆弱性ではありません。別のファイアウォールを介して接続されていないシステム上でも。カーネルのTCP / IPスタックの実装に脆弱性がある場合、全閉構成で唯一の重大な脆弱性があります。しかし、パケットはすでにカーネルのnetfilter(iptables)コードを通過しているため、バグも潜んでいる可能性があります。反対側で「接続が拒否された」という結果で応答するためのロジックは、セキュリティ関連のバグはもちろんのこと、バグの主要な原因になると信じるのに苦労するほど単純です。
第三に、パッケージは通常rootとしてインストールされ、そこから(パッケージは)知らないうちにiptablesルールを変更できます。そのため、人間の管理者が手動でホストファイアウォールを通過するトラフィックを許可することを要求するようなものを得ることとは異なります。そのような分離が必要な場合は、最初に保護するホストとは別のファイアウォールを用意する必要があります。
だから私はiptablesについて知りましたが、ファイアウォールはほとんどの場合、デフォルトのルールとアクセシビリティと使いやすさについてかなり知られていないようであるため、質問はまだiptablesのままです。
私は実際に反対が真実だと言うでしょう。ファイアウォールとしてのiptablesはよく知られています。また、出くわす可能性のあるほぼすべてのLinuxシステムでも使用できます。(2000年頃のLinuxカーネルバージョン2.4につながった開発中にipchainsを置き換えました。物事を正しく思い出せば、ファイアウォールの一般的なユースケースの2つの間のユーザーに見える最大の変更は、組み込みルールチェーンはINPUT
、小文字の代わりに、のように大文字で命名されましたinput
。
どちらかといえば、iptablesのは、物事を行うことができ、他の広く使われているか理解されていないファイアウォール以上を。たとえば、ファイアウォールを通過する前にIPパケットを書き換えるために使用できます。
iptables
プリインストールされていません!エンドツーエンドの原則をレイヤー7の極端なものにしようとしているだけだと思います