UFW: c'est quoi au juste?
Qu'est-ce que UFW? Vous penseriez que la question est facile, mais plus je lis de sources, moins elles sont claires.
L'acronyme désigne non compliqué FireWall, comme si ufw implémentait en réalité un pare-feu. Et en effet, dans de nombreux endroits, on parle de pare-feu, comme dans cet article .
La page du wiki d'aide Ubuntu sur UFW indique que UFW est un outil de configuration pour iptables. (À son tour, la page du wiki d'aide sur les pare-fe indique que iptables est la base de données des règles de pare-feu, et qu'il s'agit également du pare-feu lui-même, comme si une base de données était un pare-feu, ce qui est évidemment faux. bien sûr, 'iptables' est aussi le nom d'un programme.)
Si ufw est un outil de configuration, on peut s’attendre à ce qu’il s’agisse d’un programme que vous exécutez pour configurer quelque chose et, une fois terminé, vous quittez avec la configuration établie. C'est la position de la réponse acceptée de cette question: ncomplicated FireWall (ufw) est-il un service?
Mais d'autres réponses à cette question sont en désaccord - non, c'est un service. Et en effet sur ma machine 18.04, je vois que ufw fonctionne en tant que service! Pourquoi diable un outil de configuration est-il exécuté en tant que service?!
De plus, systemctl list-units --all --type=service indique ufw.service est loaded and active (et aussi exited ?!) et ufw status affiche inactive.
Alors, que signifie ufw status = inactive?
Que "le pare-feu" (quel qu'il soit) est inactif? C'est ce que la page de manuel d'ufw doc pour 'statut' suggérerait.
Ou cela signifie-t-il que les règles configurées dans ufw sont inactives (mais que d'autres configurées dans iptables sont actives)?
Ou cela signifie-t-il que ufw a démarré au démarrage, a installé ses règles dans ipconfig (ou où qu’elles aillent) pour qu’elles soient maintenant en vigueur, et maintenant ufw n’a plus rien à faire, c’est inactif?
D'un intérêt particulier: je veux suivre certaines instructions nécessitant l'émission de commandes iptables, mais je crains qu'elles ne soient en conflit avec ou écrasées par l'appareil ufw.
ufw est une interface pour netfilter/iptables, le mécanisme Linux de routage et de filtrage du trafic Internet.
ufw est complètement facultatif et il est possible de créer des tables de routage de pare-feu et directement à l’aide des commandes iptables. Certaines personnes préfèrent la syntaxe de ufw, qui est supposée faciliter les choses.
ufw n'est pas le pare-feu, c'est un outil pour configurer la configuration de netfilter/iptables. Il est enregistré en tant que service car il doit être exécuté à chaque démarrage de votre machine. Je ne crois pas qu'il reste résident en mémoire après avoir effectué cette configuration. "redémarrer" le service simplement ré-exécute ses scripts. Il n’est pas rare que des éléments des distributions Linux soient enregistrés en tant que services, même s’il s’agit simplement de scripts exécutés au démarrage ou à l’arrêt sans rester résidents entre les deux.
Si vous utilisez ufw, vous ne pouvez pas définir vos propres règles iptables à l'aide de vos propres scripts, car elles seront écrasées lorsque ufw définira ses propres règles. Cela signifie également que ufw peut entrer en conflit avec d'autres outils définissant des règles de pare-feu.
Si Sudo ufw status renvoie "inactif", cela signifie que ufw a été désactivé (et ne réappliquera aucune règle par exemple au démarrage). Vous devez vous assurer que ufw est activé avec Sudo ufw enable, mais vous devez également configurer les règles pour que cela ait une signification. Si vous êtes sûr d’avoir activé ufw mais qu’il retourne "inactif", il pourrait y avoir un autre problème.
Notez que "démarrer" le service n'active pas ufw, il active simplement le script de démarrage. Si ufw est désactivé lors de l'exécution du script de démarrage, il ne fait rien.
Vous pouvez savoir si vos règles de pare-feu ont été appliquées à un moment donné en utilisant directement iptables:
Sudo iptables -L
Sudo ip6tables -L