먼저, 이미 언급 한 내용을 반복하고 싶습니다 : 데비안은 다른 주류 배포판, 특히 우분투와는 다른 사용자 그룹을 수용합니다. 데비안은 시스템의 작동 방식을 알고 있고 시스템에 대한 높은 수준의 제어를 위해 때때로 땜질을 두려워하지 않는 사람들을 대상으로합니다. 예를 들어 우분투는 매우 다른 대상 독자를 대상으로합니다. 일만하고 일을하고 싶어하는 사람들 (실제로)을 실제로 신경 쓰지 않는 사람들은 물론 시스템 구성을 수정하지 않아도되는 사람들 작업. 이는 결과 시스템의 여러 측면에 영향을줍니다. 그리고 어느 정도까지는 이것이 Linux의 한 가지 아름다움입니다. 동일한 기본 시스템을 사용하여 다양한 요구에 맞는 환경을 구축 할 수 있습니다. 우분투는 데비안 파생물이라는 것을 기억하십시오.
gufw는 DVD1의 패키지에도 없습니다.
첫 번째 디스크에는 설치된 시스템에서 익명 통계를 옵트 인 수집하여 결정한 가장 인기있는 소프트웨어가 포함됩니다. gufw가 첫 번째 디스크에 있지 않다는 사실은 데비안에서이 패키지가 널리 사용되는 (설치된 기반으로) 패키지가 아님을 나타냅니다. 다른 시스템보다 선호하는 경우 네트워킹이 시작되고 실행되는 기본 시스템이 있으면 설치하기도 쉽습니다.
사람들은 방화벽을 얻기 전에 인터넷에 연결해야합니까? 왜?
글쎄, 데비안은 네트워크를 통해 설치할 수 있다고 생각합니다. (일반 설치 중에 네트워크에서 패키지를 다운로드 할뿐만 아니라 문자 그대로 에 설치된 호스트와 다른 호스트에서 설치를 시작합니다 .) 기본적으로 제한 규칙 세트로 구성된 방화벽은이를 방해 할 위험이 있습니다. 설치중인 최신 버전의 패키지를 다운로드하는 것 이외의 목적으로 설치 프로세스 중에 나가는 네트워크 액세스가 필요한 설치와 동일합니다.
다른 하나는 위에서 언급 한 것이 있습니다. 일반적으로 데비안은 자신이하는 일을 알고 있어야합니다. 방화벽을 원한다면 방화벽을 직접 구성 할 수 있어야하며, 특정 요구 사항이 무엇인지 데비안 관리자보다 더 잘 알고 있어야합니다. 데비안은 그런 점에서 OpenBSD와 비슷하지만 극단적이 아닙니다. (기본 시스템을 좀 더 안전하게 만들고 사용성을 좀 더 선택하는 것만으로도 OpenBSD 관리자는 거의 항상 보안을 추구합니다. 기본 시스템 보안 취약성 통계에 나와 있지만 사용성에 큰 영향을 미칩니다.)
물론 기술 : 방화벽 지원 은 기본 시스템에 포함되어 있습니다. 커널에 의해 기본적으로 모든 허용 규칙으로 설정되어 있으며 기본 데비안 설치는이를 변경하기 위해 아무 것도하지 않습니다. 트래픽 흐름을 제한하기 위해 몇 가지 명령을 실행할 수 있습니다.
모든 포트가 기본적으로 닫혀 있어도 다양한 설치, 업데이트 또는 다운로드 된 프로그램이 포트를 열거 나 닫을 수 있습니다. 심지어 한 비트라도 내 허락없이 컴퓨터를 떠나지 않기를 바랍니다.
첫째, 방화벽은 일반적으로 들어오는 트래픽 을 제한하는 데 사용됩니다 . 발신 을 제한하려는 경우교통, 그것은 약간 다른 물고기 주전자입니다. 확실히 할 수 있지만 특정 상황에 맞게 조정해야합니다. 일반적으로 사용되는 포트를 열어 둔 기본 차단 발신 트래픽 방화벽 (일반적으로 사용되는 포트는 ftp / 20 + 21, ssh / 22, smtp / 25, http / 80, https / 443, pop3 / 110, imap / 143 및 설정된 세션과 관련된 트래픽을 허용하는 것 외에도 기본 허용 방화벽보다 훨씬 안전하지는 않습니다. 기본 시스템에 의해 설치된 패키지 세트가 잘 이해되고 전달 된 패키지로 구성된 보안 세트로 제한되고 관리자가 그보다 더 많은 보호가 필요한 경우 적절한 방화벽 규칙을 설정할 수 있도록하는 것이 좋습니다.
둘째, 닫힌 포트 ( TCP RST / ACK를 사용하여 TCP SYN에 응답하는 포트)일반적으로 "연결 거부 됨"으로보고됩니다. 이는 일반적으로 반대 구성이 없거나 소프트웨어를 수신하지 않는 경우 TCP / IP를 지원하는 라이브 시스템에서 TCP 포트의 기본 상태입니다. 별도의 방화벽을 통해 연결되지 않은 시스템에서도 마찬가지입니다. 완전히 닫힌 구성에서 유일하게 중요한 취약점은 커널의 TCP / IP 스택 구현 내에 취약점이있는 경우입니다. 그러나 패킷은 이미 커널의 netfilter (iptables) 코드를 통과하고 있으며 버그도 숨어있을 수 있습니다. 다른 쪽 끝에 "연결이 거부 된"결과에 응답하는 논리는 간단하여 보안 관련 버그는 물론 버그의 주요 원인이 될 것이라고 믿기가 어렵습니다.
셋째, 패키지는 일반적으로 루트로 설치되며, 여기서 패키지는 사용자가 모르게 iptables 규칙을 변경할 수 있습니다. 따라서 관리자가 호스트 방화벽을 통한 트래픽을 수동으로 허용하도록 요구하는 것과는 다릅니다. 이러한 종류의 격리를 원할 경우 먼저 보호하고있는 호스트와 방화벽을 분리해야합니다.
방금 iptables에 대해 알게되었지만 방화벽이 대부분의 사람들에게 알려지지 않은 것처럼 보이는 iptables, 기본 규칙 및 액세스 가능성 및 사용 편의성에 대한 질문이 여전히 남아 있습니다.
나는 실제로 그 반대 라고 말합니다 . 방화벽으로서의 iptables는 잘 알려져 있습니다. 또한 거의 모든 Linux 시스템에서 사용할 수 있습니다. (개발 과정에서 ipchains를 대체하여 2000 년경 Linux 커널 버전 2.4가되었습니다. 올바르게 기억한다면, 방화벽의 일반적인 사용 사례에서 둘 사이에서 사용자가 볼 수있는 가장 큰 변화는 내장 규칙입니다. 체인은 이제 INPUT
소문자 대신 대문자로 이름이 지정되었습니다 input
.)
아무것도의 iptables는 일 할 수 있다면 다른 널리 사용되거나 이해되지 않는 방화벽보다 더합니다. 예를 들어, 방화벽을 통과 하기 전에 IP 패킷을 다시 쓰는 데 사용할 수 있습니다 .
iptables
사전 설치되어 있지 않습니다 ! 난 그냥 사람들이 엔드-투-엔드 원칙을 레이어 7 극단으로 가져 가려고하는 것 같아요.