가정하자 :

• 나는 Ubuntu / Linux OS의 내부 작동에 대해 거의 또는 전혀 모른다. 내가 아는 것은 인터넷에 연결하기 전에 방화벽을 구성하고 실행해야한다는 것입니다. 열다.
• 방금 Ubuntu desktop 18.04 LTS 로 마이그레이션 했으며 처음으로 로그인했습니다. PC를 인터넷에 연결하기 전에 시스템을 보호하고 싶습니다.

(NB : desktop 이라는 단어에 중점을 두 므로 서버에 대한 언급 은 질문과 관련이 없으므로 관련이 없습니다)

이 주제에 대한 약간의 연구 후에 나는 이것을 많이 이해합니다.

ㅏ. ufw는 Ubuntu의 기본 방화벽 "구성 도구"입니까? (실제 방화벽이 아닌 구성 도구라고 함) ufw가 설치되어 있지만 실행 중이 아니며 전혀 구성되지 않았으므로 기본 규칙이 설정되어 있지 않습니다.

비. Gufw는 ufw의 UI이지만 기본적으로 설치되어 있지 않거나 최소한 Ubuntu Desktop 18.04 LTS의 경우입니다.

씨. iptables는 커널에 모듈로 내장 된 실제 방화벽입니다.

이 시점에서 ABC처럼 쉽게 ufw를 구성 할 수 있으므로 이름을 사용하고 시작점으로 사용하려면 거부 (수신), 허용 (발신) 및 시작을 설정해야합니다. Gufw 도이 작업을 수행합니다. 그래서 그냥 그대로두고 그렇게 할 수 있습니다.

그러나 모든 연구를 마친 후에는 많은 견해와 의견을 가진 주제에 대한 많은 기사, 질문 및 블로그를 발견했습니다. 많은 사람들은 방화벽이 필요하지 않으며 개방 포트가 없다고 말하지만 분명히 일부 포트는 인터넷에 연결하면 열려 있습니까? 즉, 장치를 네트워크에 연결하고 양방향 트래픽 연결을 여는 것을 의미하지만, 읽은 모든 정보는이 정보를 명확하지 않고 모호하게 만드는 데 도움이되므로 모든 정보를 요약하여 이해하려고 노력합니다. 하나의 문장으로 요약하면 간단히 요약하면 다음과 같습니다.

Ubuntu 데스크탑 사용자는 단순히 utable 아래의 실제 방화벽 인 iptables의 구성 도구 일 뿐이므로 ufw가 필요하지 않습니다.

위의 진술을 문자 그대로 취하면 다음 진술이 사실입니까?

iptables는 Ubuntu Desktop에 내장 된 방화벽이며 일반 데스크탑 사용자에게 충분히 안전한 기본 규칙으로 완벽하게 구성되어 기본적으로 제공됩니다.

위의 내용이 사실이라면 iptables에 복잡하지 않은 인터페이스를 제공하는 것을 제외하고 ufw의 요점은 무엇입니까? 모든 계정에 의해 복잡하고 더 나아가 전문가들은 iptables를 정확히 알지 못하면 직접 iptables를 구성하지 않는 것이 좋습니다 잘못 구성된 경우 시스템을 쉽게 안전하지 않거나 사용할 수 없게 만들 수 있습니까?

다음은 내 시스템의 열린 포트를 보여주는 방화벽 구성과 함께 시스템 의 nmap 스캔입니다.

누군가가 간결하고 관련성이 있고 의견이 아닌 사실 기반 답변을 제공 할 수 있습니까? :)

질문은 상당히 바뀌었다

새로운 답변

TITLE 질문

새로운 Ubuntu 데스크탑 18.04 LTS 사용자 ufw로서 방화벽 에 사용해야 합니까, iptables로 충분합니까?

대부분의 우분투 사용자는을 사용할 필요가 없습니다 ufw. 모두 ufw와 iptables기본적으로 설치되어 아무것도 할 구성되어 있습니다. 필요가없는 이유는 아래에 자세히 설명되어 있습니다.

다른 질문 1 :

위의 진술을 문자 그대로 취하면 다음 진술이 사실입니까?

iptables는 Ubuntu Desktop에 내장 된 방화벽으로, 평균 데스크탑 사용자, 즉 거부 (들어오는), 허용 (나가는)에 대해 충분히 안전한 기본 규칙으로 완벽하게 구성되어 기본적으로 실행됩니다.

진술은 거짓

이 문은 실제로 와로 연결된 두 개의 문 입니다. 따라서 전체 진술의 일부만 거짓이면 전체 진술이 허위입니다. 그것을 분해하자 :

iptables 우분투 데스크탑을위한 내장 방화벽입니다

위 부분은 사실입니다.

이제 다른 부분을 보자 :

iptables 일반 데스크톱 사용자, 즉 거부 (들어오는), 허용 (나가는)에 대해 충분히 안전한 기본 규칙을 사용하여 완전히 구성되어 기본적으로 제공됩니다.

위의 부분은 거짓입니다.

기본 Ubuntu 데스크탑 설치에는 포트가 열려 있지 않으며 서버가 실행되고 있지 않습니다. 따라서 iptables데스크탑 우분투에 기본적으로 설치되어 있지만 아무것도 수행하도록 구성되어 있지 않습니다. 즉, 기본 방화벽에는 규칙이 설정되어 있지 않습니다.

따라서 iptableUbuntu를 설치할 때 아무 것도 수행하지 않도록 구성되어 있습니다.

다른 질문 2 :

nmap 및 gufw 이미지에 대한 설명 (이것이 원하는 것 같습니다)

nmap은 127.0.0.1에 개방 된 두 개의 열린 포트만 보여줍니다. 이것은 컴퓨터 자체를 나타내는 특수한 IP 주소입니다. 즉, 컴퓨터 자체는이 두 개의 열린 포트를 사용하여 자신과 통신 할 수 있습니다.

gufw스크린 샷 쇼 방화벽 규칙 설정이 없다는 것을. 그러나 설치 gufw하고 클릭 한 ufw후에도 설치되고 (gufw는 ufw를 사용) ufw는 활성화됩니다. 위에서 언급 한 기본 ufw 구성은 거부 (들어오는) 및 허용 (나가는)입니다. 그러나이 규칙은 컴퓨터 자체에는 적용되지 않으며 127.0.0.1입니다. 이것은 가정 사용자에게는 충분하지만 필수는 아닙니다.

원래 답변 ==>

일반 가정 사용자는 방화벽이 필요하지 않습니다

기본 Ubuntu 데스크탑 설치에는 포트가 열려 있지 않으며 서버가 실행되고 있지 않습니다. 따라서 ssh server와 같은 서버 데몬을 실행하지 않으면 방화벽이 필요하지 않습니다. 따라서 iptable은 Ubuntu를 설치할 때 아무 것도하지 않도록 구성되어 있습니다. 방화벽을 활성화해야합니까?를 참조하십시오 . 가정용 데스크탑 용도로만 Ubuntu를 사용합니까? 자세한 내용은.

서버를 실행하는 경우 방화벽이 필요합니다

일반 가정 사용자가 아닌 경우 ssh를 통해 원격으로 데스크톱에 액세스하거나 다른 서비스를 실행하는 등의 고급 작업을 수행하려면 방화벽이 필요합니다. 방화벽 구성은 실행하려는 서버 데몬에 따라 다릅니다.

서버를 실행하지 않더라도 모든 포트에서 들어오는 모든 연결을 거부하는 기본 구성의 방화벽이 필요할 수 있습니다. 언젠가는 자신이하고있는 일을 인식하지 않고 서버를 설치하고 실행하려는 경우에 대비하여 이중으로 안전해야합니다. 기본 방화벽 구성을 변경하지 않으면 서버가 예상대로 작동하지 않습니다. 방화벽을 활성화했음을 기억하기 전에 몇 시간 동안 머리를 긁을 것입니다. 그런 다음 위험을 감수 할 수 없으므로 서버 소프트웨어를 제거 할 수 있습니다. 또는 서버가 작동하도록 방화벽을 구성 할 수 있습니다.

gufw 가장 쉽다

gufw는를위한 GUI 인터페이스로 ufw,를 구성합니다 iptables. 1990 년대 이래로 Linux를 사용해 왔으므로 명령 행에 익숙하거나 GUI의 시각적 신호를 선호 할 수 있습니다. GUI가 마음에 들면를 사용하십시오 gufw. 초보자도 쉽게 이해하고 구성 할 수 있습니다.

ufw 쉽다

명령 행이 마음에 드시면 ufw충분합니다.

iptables 너무 쉽지 않다

우리는 누군가가 iptables에 직접 바이올린 원하고, 사용하지 않는 이유 ufw또는 gufw이 엉망으로 매우 간단하기 때문이다 iptables그리고 일단 당신이, 시스템은 사용하지 못할 수 있음을 너무 심하게 파괴 할 수 있습니다. 이 iptables-apply명령에는 사용자의 실수로부터 사용자를 보호하기위한 몇 가지 기본 보호 장치가 있습니다.

도움이 되었기를 바랍니다

방화벽이 필요 없다고 주장하는 사람들에 의해 확신을 얻지 못했기 때문에이 답변을 직접 제공하고 있습니다. 개방 포트가 없습니다 ... 내가 수락하더라도 승인 된 것으로 표시하지는 않습니다. 이것이 답변이되어야하는지에 대한 투표.

방화벽에 대해 잘 모르면 Ubuntu Desktop을 사용하는 모든 사람에게 방화벽에 대해 잘 모르겠다면 나 자신과 마찬가지로이 주제에 대해 많은 상반되는 견해를 보았으므로 조언을 계속합니다. 방화벽을 사용하려면 ufw를 권장하고 UI를 원한다면 Gufw를 사용하십시오. 모든 것을 말하고 완료했을 때 마음이 들리더라도 사용에 해를 끼칠 수 없기 때문입니다.

나는 결국 설명을 위해 공식 우분투 문서를 보았고 다음 기사를 찾았고 답을 찾으려고 노력한 후에이 기사를 읽는 것이 좋습니다.이 기사는 많은 의미가 있으며 내 질문과 하위 질문에 대답하기 때문에 이제 괜찮을거야;)

https://help.ubuntu.com/community/DoINeedAFirewall

위 기사에서 발췌 한 내용은 다음과 같습니다.

열린 포트가 없으므로 방화벽이 필요하지 않습니다.

글쎄,별로. 이것은 일반적인 오해입니다. 먼저 열린 포트가 실제로 무엇인지 이해합시다. 열린 포트는 SSH와 같은 서비스가 바인딩되어 있고 수신하는 포트입니다. SSH 클라이언트가 SSH 서버와 통신을 시도하면 TCP SYN 패킷을 SSH 포트 (기본적으로 22)로 보내고 서버가이를 인식하여 새 연결을 만듭니다. 방화벽이 어떻게 도움을 줄 수 있는지에 대한 오해가 여기에서 시작됩니다. 일부 사용자는 서비스를 실행하지 않기 때문에 연결할 수 없다고 가정합니다. 따라서 방화벽이 필요하지 않습니다. 이것들이 당신이 생각해야 할 유일한 것이라면, 이것은 완벽하게 받아 들여질 것입니다.그러나 이것은 그림의 일부일뿐입니다. 거기에 작용하는 두 가지 추가 요소가 있습니다. 하나는 열려있는 포트가 없다는 이유로 방화벽을 사용하지 않으면 가지고있는 응용 프로그램이 악용되고 코드 실행이 발생하면 새로운 소켓을 만들고 임의의 소켓에 바인딩 할 수 있기 때문에 자체 보안을 방해합니다 포트. 다른 중요한 요소는 방화벽을 사용하지 않는 경우 아웃 바운드 트래픽 제어 기능이 없다는 것입니다. 악용 된 응용 프로그램으로 인해 새로운 소켓이 생성되고 포트가 바인딩되는 대신 공격자가 활용할 수있는 또 다른 대안은 악의적 인 컴퓨터에 대한 역방향 연결을 만드는 것입니다. 방화벽 규칙이 없으면이 연결은 방해받지 않습니다.

iptables 는 TCP / IP 네트워킹 스택의 일부입니다. * Nix가 있으면 IPTABLES입니다. IP 네트워크, 방화벽 사용 또는 사용 안함에 관계없이 iptables를 사용하고 있습니다.

ufw 는 (* iptables 사용을 의미하는)위에 * Nix 응용 프로그램입니다. 쉘 콘솔 기반이지만 사용하기가 어렵지 않습니다. 켜거나 끌 수 있습니다. 인터넷 (0.0.0.0), 로컬 루프백 (127.0.0.0), 로컬 호스트 (192.168.0.0) 및 자동 주소 지정 (169.254.0.0)에대한 기본 경로가 있어야하므로 iptables를 비활성화 할 수 없습니다. 보시다시피 iptables 는 네트워킹 스택에 구워졌습니다. 원하더라도 피할 수 없습니다.

ufw 는 셸 콘솔에서 편하게 매트릭스의 iptables 항목을 수정할 수 있습니다. iptables IP 경로를 직접 편집 할 수는 있지만 오류가 발생하기 쉽기 때문에 권장하지 않습니다. IP 라우팅 테이블을 편집하기위한 도구로 ufw를 생각하십시오.

쉘 콘솔을 사용하는 것처럼 편안하지만 여전히 iptables 위에있는 ufw의 그래픽 "래퍼" 인 gufw 의 단순성을 권장합니다 .

미디어 서버 나 비트 토렌트 앱과 같은 응용 프로그램의 방화벽 프로필을 추가하는 것이 간단합니다. 내 인생을 편하게 만드는 것은 무엇이든 내 명성을 얻습니다.

따라서 수정 된 질문에 답하기 위해 IPTABLES는 단독으로 남겨두면 네트워크를 보호하지 않습니다 . IP 라우팅 테이블을 통과하는 특정 포트를 차단, 필터링, 비활성화 또는 허용하도록 설계되지 않았습니다. IP 라우팅 테이블을 동적으로 편집하는 특정 포트 또는 포트 범위 만 허용 / 차단 하려면 ufw + gufw를 사용하십시오 .