En tant que nouvel utilisateur Ubuntu desktop 18.04 LTS, dois-je utiliser ufw pour un pare-feu ou iptables est-il suffisant?
Assumons:
- J'ai peu ou pas de connaissance du fonctionnement interne du système d'exploitation Ubuntu/Linux. Tout ce que je sais, c'est de mon expérience de Windows, c'est que je dois avoir un pare-feu configuré et fonctionner avant de me connecter à Internet, sinon mon système serait à peu près aussi sûr que de partir en vacances et de quitter ma maison avec toutes les portes et fenêtres ouvert.
- Je viens de migrer vers Ubuntu desktop 18.04 LTS et je viens de me connecter pour la première fois. Je veux sécuriser mon système avant de connecter mon PC à Internet.
(NB: Notez l'accent mis sur le mot bureau, donc toute référence à serveur ne sera pas pertinent pour la question et donc non pertinent)
et après quelques recherches sur ce sujet, je comprends bien:
a. ufw est-il "l'outil de configuration" du pare-feu par défaut pour Ubuntu? (notez qu'il indique l'outil de configuration et non le pare-feu réel) et ufw est installé, mais il ne fonctionne pas et n'est pas configuré du tout, il n'a donc pas de règles par défaut définies dès le départ.
b. Gufw est une interface utilisateur pour ufw, mais il n'est pas installé par défaut, ou du moins c'est le cas avec Ubuntu Desktop 18.04 LTS.
c. iptables est le pare-feu réel qui est intégré au noyau en tant que module.
À ce stade, sachez que je peux configurer ufw car c'est aussi simple que abc, d'où son nom et pour l'utiliser, comme point de départ, vous devez définir le refus (entrant), autoriser (sortant) et le démarrer, je comprends également que je pourrais utiliser Gufw pour faire cela aussi. Je pourrais donc simplement le laisser là et faire exactement cela.
Cependant, après toutes mes recherches, je trouve de nombreux articles, questions et blogs sur le sujet avec de nombreux points de vue et opinions, beaucoup d'entre eux déclarant que vous n'avez pas besoin d'un pare-feu, il n'y a pas de ports ouverts, mais je pense, certains ports doivent sûrement ouvrir lorsque je me connecte à Internet? ce qui signifie que je connecte mon appareil à un réseau et que j'ouvre une connexion de trafic bidirectionnelle, mais toutes les informations que j'ai lues ne servent qu'à rendre cela peu clair et ambigu, alors je digère toutes ces informations et j'essaie de donner un sens à cela, puis de réduire en une seule déclaration et donc en résumé, je résume:
Les utilisateurs de bureau Ubuntu n'ont pas besoin d'ufw car il s'agit simplement d'un outil de configuration pour iptables qui est le pare-feu réel sous le capot.
Donc, disons que je prends la déclaration ci-dessus littéralement, alors la déclaration suivante est-elle vraie?:
iptables est le pare-feu intégré pour Ubuntu Desktop et est entièrement configuré et opérationnel avec des règles par défaut suffisamment sécurisées pour l'utilisateur de bureau moyen.
Parce que si ce qui précède est vrai, quel serait l'utilité d'ufw, sauf pour fournir une interface simple à iptables, ce qui est compliqué par tous les comptes et, en outre, les experts vous conseillent d'éviter de configurer directement iptables car si vous ne savez pas exactement quoi vous faites, vous pourriez facilement rendre votre système non sécurisé ou inutilisable, s'il est mal configuré?
Voici une nmap analyse de mon système avec ma configuration de pare-feu, montrant les ports ouverts sur mon système: - 
Veuillez quelqu'un pourrait-il fournir une réponse concise, pertinente et sans opinion, basée sur des faits :)
La question a considérablement changé
Nouvelle réponse
La question TITLE
En tant que nouvel utilisateur Ubuntu desktop 18.04 LTS, dois-je utiliser
ufwpour un pare-feu ou iptables est-il suffisant?
La plupart des utilisateurs d'Ubuntu à domicile n'ont pas besoin d'utiliser ufw. ufw et iptables sont installés par défaut et sont configurés pour ne rien faire. Pourquoi il n'y a pas besoin, est expliqué plus en détail ci-dessous.
L'autre question 1:
Donc, disons que je prends la déclaration ci-dessus littéralement, alors la déclaration suivante est-elle vraie?:
iptables est le pare-feu intégré pour Ubuntu Desktop et est entièrement configuré et opérationnel avec des règles par défaut suffisamment sécurisées pour l'utilisateur de bureau moyen, à savoir refuser (entrant), autoriser (sortant).
La déclaration est fausse
L'instruction est en fait deux instructions jointes par et. Donc, si une seule partie de la déclaration entière est fausse, alors la déclaration entière est fausse. Décomposons-le:
iptablesest le pare-feu intégré pour Ubuntu Desktop
La partie ci-dessus est vraie.
Voyons maintenant l'autre partie:
iptablesest entièrement configuré et fonctionne avec des règles par défaut suffisamment sécurisées pour l'utilisateur de bureau moyen, à savoir refuser (entrant), autoriser (sortant).
La partie ci-dessus est fausse.
L'installation par défaut du bureau Ubuntu n'a aucun port ouvert et aucun serveur en cours d'exécution. Par conséquent, même si iptables est installé par défaut dans le bureau Ubuntu, il n'est pas configuré pour faire quoi que ce soit. Autrement dit, le pare-feu par défaut n'a pas de règles définies.
Ainsi, iptable est configuré pour ne rien faire lorsque vous installez Ubuntu.
L'autre question 2:
Explications pour l'image nmap et gufw (je pense que c'est ce que vous voulez)
Votre nmap montre que les deux seuls ports ouverts sont ouverts à 127.0.0.1. Il s'agit d'une adresse IP spéciale qui fait référence à l'ordinateur lui-même. Autrement dit, l'ordinateur lui-même peut communiquer avec lui-même à l'aide de ces deux ports ouverts.
La capture d'écran gufw montre qu'il n'y a pas de configuration de règles de pare-feu. Cependant, puisque vous avez installé gufw et cliqué dessus, ufw est également installé (gufw utilise ufw) et ufw est actif. La configuration ufw par défaut que vous avez mentionnée ci-dessus, refuser (entrant) et autoriser (sortant) fonctionne. Cependant, ces règles ne s'appliquent pas à l'ordinateur lui-même, c'est-à-dire 127.0.0.1. C'est (pas nécessaire mais) suffisant pour un utilisateur à domicile.
Réponse originale ==>
Les utilisateurs à domicile moyens n'ont pas besoin d'un pare-feu
L'installation par défaut du bureau Ubuntu n'a aucun port ouvert et aucun serveur en cours d'exécution. Par conséquent, si vous n'exécutez aucun démon de serveur, tel qu'un serveur ssh, vous n'avez pas besoin de pare-feu. Ainsi, iptable est configuré pour ne rien faire lorsque vous installez Ubuntu. Voir Dois-je activer le pare-feu? Je n'utilise Ubuntu que pour un bureau à domicile? pour plus de détails.
Si vous exécutez des serveurs, vous avez besoin d'un pare-feu
Si vous n'êtes pas un utilisateur domestique moyen et que vous souhaitez effectuer des tâches avancées, telles que l'accès à distance à votre bureau par ssh ou exécuter d'autres services, vous avez besoin d'un pare-feu. Votre configuration du pare-feu dépendra des démons de serveur que vous prévoyez d'exécuter.
Même si vous ne prévoyez pas d'exécuter un serveur, vous souhaiterez peut-être un pare-feu avec la configuration par défaut de refuser toutes les connexions entrantes de tous les ports. C'est pour être doublement sûr, au cas où un jour vous voudriez installer et exécuter un serveur sans réaliser ce que vous faites. Sans changer la configuration par défaut du pare-feu, le serveur ne fonctionnera pas comme prévu. Vous vous gratterez la tête pendant des heures avant de vous souvenir que vous avez activé le pare-feu. Ensuite, vous souhaiterez peut-être désinstaller le logiciel serveur, car il ne vaut peut-être pas le risque. Ou vous pouvez configurer le pare-feu pour permettre au serveur de fonctionner.
gufw est le plus simple
gufw est une interface graphique pour ufw, qui à son tour configure le iptables. Depuis que vous utilisez Linux depuis les années 1990, vous pouvez être à l'aise avec la ligne de commande ou vous pouvez préférer les repères visuels d'une interface graphique. Si vous aimez une interface graphique, utilisez gufw. Il est facile à comprendre et à configurer même pour un novice.
ufw c'est facile
Si vous aimez la ligne de commande, ufw est assez simple.
iptables n'est pas si facile
La raison pour laquelle nous ne voulons pas que quiconque joue directement avec les iptables et utilise ufw ou gufw est parce qu'il est très facile de gâcher iptables et une fois que vous le faites , le système peut se casser si gravement qu'il peut être inutilisable. La commande iptables-apply A des protections intégrées pour protéger les utilisateurs de leurs erreurs.
J'espère que cela t'aides
Je fournis moi-même cette réponse, car je n'ai pas été convaincu par des gens qui insistent sur le fait que vous n'avez pas besoin d'un pare-feu, vous n'avez pas de ports ouverts ... et je ne le marquerai pas comme accepté même si je l'accepte moi-même, je vais le laisser au la communauté de voter pour savoir si cela devrait être la réponse.
Tout ce que je dirais à toute personne utilisant Ubuntu Desktop qui tombe sur cette question, si vous n'êtes pas sûr d'un pare-feu, car comme moi, vous avez vu par vous-même tant de points de vue contradictoires sur ce sujet, alors mon conseil est de continuer et utilisez un pare-feu, je recommande ufw et si vous voulez une interface utilisateur alors utilisez Gufw, car quand tout est dit et fait, même si tout ce qu'il fait est de vous donner l'esprit tranquille, vous ne pouvez pas faire de mal en l'utilisant.
Je me suis finalement tourné vers la documentation officielle d'Ubuntu pour des éclaircissements et j'ai trouvé l'article suivant et après mon expérience en essayant de trouver des réponses, je vous recommande de lire cet article car il fait beaucoup de sens et il répond à mes questions et sous-questions et je pense que je ça va aller maintenant;)
https://help.ubuntu.com/community/DoINeedAFirewall
Voici un extrait de l'article ci-dessus:
Je n'ai pas de ports ouverts, donc je n'ai pas besoin de pare-feu, non?
Eh bien, pas vraiment. Il s'agit d'une idée fausse courante. Tout d'abord, comprenons ce qu'est réellement un port ouvert. Un port ouvert est un port qui a un service (comme SSH) lié et qui l'écoute. Lorsque le client SSH essaie de communiquer avec le serveur SSH, il envoie un paquet TCP SYN au port SSH (22 par défaut), et le serveur ACKnowledge, créant ainsi une nouvelle connexion. L'idée fausse sur la façon dont un pare-feu peut vous aider commence ici. Certains utilisateurs supposent que puisque vous n'exécutez aucun service, une connexion ne peut pas être établie. Vous n'avez donc pas besoin d'un pare-feu. S'il s'agissait des seules choses auxquelles vous deviez penser, ce serait parfaitement acceptable. Cependant, ce n'est qu'une partie de l'image. Il y a deux facteurs supplémentaires qui entrent en jeu. Premièrement, si vous n'utilisez pas de pare-feu sur la base que vous n'ont pas de ports ouverts, vous paralysez votre propre sécurité car si une application dont vous disposez est exploitée et que l'exécution de code se produit, un nouveau socket peut être créé et lié à un port arbitraire. L'autre facteur important ici est que si vous n'utilisez pas un pare-feu, vous n'avez également aucun contrôle du trafic sortant. À la suite d'un exploit Une application alternative, au lieu de créer un nouveau socket et de relier un port, une autre alternative qu'un attaquant peut utiliser est de créer une connexion inverse vers une machine malveillante. Sans règles de pare-feu en place, cette connexion passera sans entrave.
iptables fait partie de la pile réseau TCP/IP. Si vous avez * Nix, vous avez des IPTABLES. Si vous êtes sur un réseau IP, que le pare-feu est activé ou désactivé, vous utilisez malgré tout iptables.
ufw est une application * Nix au-dessus de (ce qui signifie utiliser iptables ). Il est basé sur une console Shell mais n'est pas si difficile à utiliser. Il peut être activé/désactivé. Vous ne pouvez pas désactiver iptables car il doit y avoir des routes par défaut pour Internet (0.0.0.0), local bouclage (127.0.0.0), localhost (192.168.0.0) et adressage automatique (169.254.0.0). Comme vous pouvez le voir, iptables est intégré dans la pile réseau. Vous ne pouvez pas l'éviter même si vous le vouliez.
ufw peut modifier les entrées iptables dans la matrice depuis le confort de la console Shell. Il est possible de modifier les routes IP iptables à la main, mais je ne le recommanderai pas car cela est au mieux sujet aux erreurs. Considérez ufw comme l'outil d'édition des tables de routage IP.
Aussi confortable que je puisse être avec la console Shell, je recommande toujours la simplicité de gufw qui est le "wrapper" graphique pour ufw qui se trouve au sommet d'iptables.
J'adore sa simplicité, en particulier l'ajout de profils de pare-feu d'applications tels que des serveurs multimédias ou des applications bittorrent. Tout ce qui rend ma vie plus facile gagne mes félicitations.
Donc, pour répondre à votre question modifiée, IPTABLES ne protégera pas votre résea s'il est laissé seul. Il n'est pas conçu pour bloquer, filtrer, désactiver ou autoriser certains ports qui traversent les tables de routage IP. Utilisez ufw + gufw si vous ne souhaitez autoriser/bloquer que certains ports ou une plage de ports qui à leur tour éditent dynamiquement l'ip table de routage.