IPtables по умолчанию в Ubuntu

abrodski · Регистрация: 04.02.2015

Студворк — интернет-сервис помощи студентам

Здравствуйте,
У меня пару вопросов про брандмауэры в Ubuntu 14.04 Deskop edition.
Как я понял, разобраться с настройками IPtables новичку в Линуксе совсем не просто! Неясно, как обстоит дело с встроенным файрволом в Убунте после её установки по умолчанию? Насколько это всё адекватно и нужно ли вообще тут что-то особо трогать? Это раз...
Второе - по поводу GUI front-end'ов под firewall в Линуксе. Я обратил внимание на пару:
1) GUFW;
2) IPfire.
Ваше мнение. В смысле, насколько они адекватны и реально работают, достаточно ли пользоваться ими не углубляясь в команды самого IPtables.
Что касаемо целей работы - это покамест установить домашний LAMP веб-сервер.

@dkplayer · 19.05.2015, 09:57

Это вопрос религии скорее

Субъективно, но мне шибко удобен и нравится ufw, он достаточно прост и интуитивен по сравнению с обычным синтаксисом iptables. Отлично документирован http://help.ubuntu.ru/wiki/рук... ь/firewall

Графические надстройки, опять же субъективно - это излишне. В консоли один раз настроил и забыл, зачем держать графическую приблуду постоянно в памяти?

Добавлено через 8 минут
Забыл написать, по умолчанию ufw выключен в ubuntu. Для LAMP достаточно следующих настроек ufw:

Bash
1
2
3
4
ufw enable
ufw allow 80/tcp
ufw allow 443/tcp
ufw limit 22/tcp

Последнее включает лимитированный доступ по ssh (с защитой от перебора паролей) если ssh не нужен на домашнем ПК то можно не включать.

Из графических был еще любопытный Firestarter, а вот IPFire это вроде как дистрибутив отдельный для создания межсетевых экранов.

abrodski · 19.05.2015, 10:51 **[ТС]**

Спасибо за ответ! А в чем смысл отдельного дистрибутива?
Я не пойму такой момент. Если IPtables в самом ядре, то как так что по умолчанию firewall выключена в Линуксе?
У меня это как то не совсем укладывается в голове...
Да с памятью проблем нет. Мне даже Ubuntu Desktop кажется почти DOS'ом, так мало ресурсов он требует. Да и я сомневаюсь, что у меня будет избыточный траффик посетителей сайта, если у меня будет свой веб-сервер.

@dkplayer · 19.05.2015, 11:08

Отдельный дистрибутив заточен под определенные потребности в данном случае для быстрого разворачивания "мощного" межсетевого экрана. Вероятно ядро собрано с определенными опциями, настройки по умолчанию иные нежели на десктопном дистрибутиве и дистрибутивах общего назначения. Кроме того в специализированном дистрибутиве исключено все не нужное по и добавлены специализированные инструменты, например специальная консоль управления. Конечно можно собрать такую систему из любого дистрибутива, но специализированный позволяет сэкономить много времени.

Что касается включенного по умолчанию firewall, на самом деле он всегда включен, но по умолчанию не настроено никаких правил. Разработчики, я думаю руководствуются принципом что все должно работать из коробки. По сути на обычной рабочей станции linux острой потребности что-то фильтровать межсетевым экраном нет, нет сетевых служб к которым нужно ограничить доступ и т.п. поэтому они сочли, что на это можно закрыть глаза. Ну а на сервере админ сам должен решить какие настройки применять.

Про память, ну как бе Gufw это просто графический редактор правил, запустил, настроил выключил... хотя он и вешается в панельку, толку от него... ну разве что сетевую активность посмотреть. Это не тот firewall с предотвращением атак, которые встраивают в виндовые антивирусы и прочие продукты, это всего лишь гуй к ufw, который в свою очередь надстройка к iptables. Поэтому я в нем (в gufw) особого смысля не вижу, ну это кому что удобней, кому команду набить, кому мышкой тыкать. Субьективно, не о чем рассуждать. Если вам нравиться нет никаких причин этим не пользоваться. Посмотрите еще Firestarter он помнится был побогаче функционалом.

abrodski · 19.05.2015, 11:16 **[ТС]**

Спасибо за подробный ответ!

@Amet13 · 19.05.2015, 11:24

Учите сразу IPTables.
Будете его использовать в 100% случаев.

Dmitry · 19.05.2015, 16:55

Сообщение от abrodski

Неясно, как обстоит дело с встроенным файрволом в Убунте после её установки по умолчанию?

все правила сброшены

Сообщение от abrodski

Если IPtables в самом ядре, то как так что по умолчанию firewall выключена в Линуксе?

нет там никаких айпитейблс

наглядно, чтоб дошло - в ядре живет netfilter, если сравнивать с "водопроводом", то это и есть тот самый "водопроводный запорный кран", а вот консольная утилита управления им называется iptables, это типа "ручка-вентиль" на "кране"
убедитсься в этом катастрофически просто:

Bash
1
ps -A | grep iptables

abrodski · 19.05.2015, 21:23 **[ТС]**

Всем спасибо за ответы, прежде всего!
Что касаемо IPtables, то для новичка, я думаю, это нереально.
Мне, допустим, советовали просто ввести элементарные настройки в UFW/GUFW и это для моих целей (домашний веб-сервер) вполне хватит. Кроме того, есть еще и отдельный программный продукт - IPFire (я так понимаю, что это как бы навороченный файрволл для тех у кого особые потребности, хотя мне и не совсем ясно какие...).
Так или иначе, вопросы остаются. Я поясню смысл этого топика. Он не в том, чтобы разбирать тут отличия netfilter от IPTables, это я могу и сам со временем прекрасно выучить. Что я хочу понять, это направление, т.е. что именно учить. Что надо, а что необязательно.
Для обычного десктопного юзанья Убунты, я так понимаю, что можно вообще ничего не делать. А вот если ставить веб-сервер, пусть даже самый простенький...

@gng · 20.05.2015, 13:45

Сообщение от abrodski

Что я хочу понять, это направление, т.е. что именно учить.

Это более широкий вопрос. И вариантов, как мне кажется, несколько.
1) Ничего не учить. Попросить других или настроить самому по простейшему руководству. Вам останется только обновлять систему на сервере.
2) То, о чём вы пишете, т.е. освоить управление сервером на уровне админа-эникейщика. На венде их ещё называют продвинутыми пользователями. Для этого существуют графические интерфейсы для управления фареволом. Здесь вы сможете что-то поменять и настроить, особо не погружаясь в архитектуру фаревола.
3) Управлять фареволом на уровне юниксового админа. Вот для этого без изучения iptables (под этим словом, пусть меня не сильно ругает точный в терминах Dmitry, я традиционно понимаю не только консольную утилиту, но и ядерные таблицы и цепочки фаревола), не обойтись ну никак.
Сложность для новичка - миф. Если вы немного знакомы с моделью OSI, немного представляете структуру ip-заголовка, понимаете различие между tcp и udp...., то это займет пару дней.

abrodski · 20.05.2015, 19:33 **[ТС]**

Сообщение от gng

Если

Если...

Dmitry · 20.05.2015, 20:02

Не по теме:

ничего, аппетит приходит во время еды...
со временем и иксы уйдут, и мышка заскучает, и по ssh будете рулить всем миром...
Если... действительно будете заниматься серверами

@bormotolog · 21.05.2015, 18:34

abrodski, на ubuntu forum была тема вроде "Автозагрузка правил iptables". Алгоритм расписан подробнее некуда. Если этот вопрос решён, то дальше никаких сложностей, если вдумчиво читать доки.

Не по теме:

Чтоб не экспериментировать на работающей машине, поставьте Debian без DE на vmware под виндой и крутите как хотите.

abrodski · 28.05.2015, 11:50 **[ТС]**

Что-то не нашел я этой темы...

@mokojumbot · 29.05.2015, 03:23

в поисковик любой man iptables. учить его. 105% будут требовать знание iptables
а начать.. Почитай Э. Таненбаума - Компьютерные сети

@bormotolog · 29.05.2015, 21:10

abrodski, >>>>
ищется так (на том форуме вверху справа есть поле для поиска; этот результат оттуда)
Сразу много правил не нагромождайте. Пошагово разберётесь. Нет там ничего сложного. Путаница в основном из-за противоречивой и устаревшей информации.

Новые блоги и статьи Все статьи Все блоги /
SDL3 для Web (WebAssembly): Работа со звуком через SDL3_mixer 8Observer8 08.02.2026 Содержание блога Пошагово создадим проект для загрузки звукового файла и воспроизведения звука с помощью библиотеки SDL3_mixer. Звук будет воспроизводиться по клику мышки по холсту на Desktop и по. . .	SDL3 для Web (WebAssembly): Основы отладки веб-приложений на SDL3 по USB и Wi-Fi, запущенных в браузере мобильных устройств 8Observer8 07.02.2026 Содержание блога Браузер Chrome имеет средства для отладки мобильных веб-приложений по USB. В этой пошаговой инструкции ограничимся работой с консолью. Вывод в консоль - это часть процесса. . .	SDL3 для Web (WebAssembly): Обработчик клика мыши в браузере ПК и касания экрана в браузере на мобильном устройстве 8Observer8 02.02.2026 Содержание блога Для начала пошагово создадим рабочий пример для подготовки к экспериментам в браузере ПК и в браузере мобильного устройства. Потом напишем обработчик клика мыши и обработчик. . .	Философия технологии iceja 01.02.2026 На мой взгляд у человека в технических проектах остается роль генерального директора. Все остальное нейронки делают уже лучше человека. Они не могут нести предпринимательские риски, не могут. . .
SDL3 для Web (WebAssembly): Вывод текста со шрифтом TTF с помощью SDL3_ttf 8Observer8 01.02.2026 Содержание блога В этой пошаговой инструкции создадим с нуля веб-приложение, которое выводит текст в окне браузера. Запустим на Android на локальном сервере. Загрузим Release на бесплатный. . .	SDL3 для Web (WebAssembly): Сборка C/C++ проекта из консоли 8Observer8 30.01.2026 Содержание блога Если вы откроете примеры для начинающих на официальном репозитории SDL3 в папке: examples, то вы увидите, что все примеры используют следующие четыре обязательные функции, а. . .	SDL3 для Web (WebAssembly): Установка Emscripten SDK (emsdk) и CMake для сборки C и C++ приложений в Wasm 8Observer8 30.01.2026 Содержание блога Для того чтобы скачать Emscripten SDK (emsdk) необходимо сначало скачать и уставить Git: Install for Windows. Следуйте стандартной процедуре установки Git через установщик. . . .	SDL3 для Android: Подключение Box2D v3, физика и отрисовка коллайдеров 8Observer8 29.01.2026 Содержание блога Box2D - это библиотека для 2D физики для анимаций и игр. С её помощью можно определять были ли коллизии между конкретными объектами. Версия v3 была полностью переписана на Си, в. . .

abrodski 1 / 1 / 1 Регистрация: 04.02.2015 Сообщений: 113

	IPtables по умолчанию в Ubuntu 19.05.2015, 04:32. Показов 2213. Ответов 14 Метки нет (Все метки) Здравствуйте, У меня пару вопросов про брандмауэры в Ubuntu 14.04 Deskop edition. Как я понял, разобраться с настройками IPtables новичку в Линуксе совсем не просто! Неясно, как обстоит дело с встроенным файрволом в Убунте после её установки по умолчанию? Насколько это всё адекватно и нужно ли вообще тут что-то особо трогать? Это раз... Второе - по поводу GUI front-end'ов под firewall в Линуксе. Я обратил внимание на пару: 1) GUFW; 2) IPfire. Ваше мнение. В смысле, насколько они адекватны и реально работают, достаточно ли пользоваться ими не углубляясь в команды самого IPtables. Что касаемо целей работы - это покамест установить домашний LAMP веб-сервер. 0

abrodski 1 / 1 / 1 Регистрация: 04.02.2015 Сообщений: 113
	19.05.2015, 10:51 [ТС]
	Спасибо за ответ! А в чем смысл отдельного дистрибутива? Я не пойму такой момент. Если IPtables в самом ядре, то как так что по умолчанию firewall выключена в Линуксе? У меня это как то не совсем укладывается в голове... Да с памятью проблем нет. Мне даже Ubuntu Desktop кажется почти DOS'ом, так мало ресурсов он требует. Да и я сомневаюсь, что у меня будет избыточный траффик посетителей сайта, если у меня будет свой веб-сервер. 0

@dkplayer 1 / 1 / 1 Регистрация: 18.05.2015 Сообщений: 7
	19.05.2015, 11:08
	Отдельный дистрибутив заточен под определенные потребности в данном случае для быстрого разворачивания "мощного" межсетевого экрана. Вероятно ядро собрано с определенными опциями, настройки по умолчанию иные нежели на десктопном дистрибутиве и дистрибутивах общего назначения. Кроме того в специализированном дистрибутиве исключено все не нужное по и добавлены специализированные инструменты, например специальная консоль управления. Конечно можно собрать такую систему из любого дистрибутива, но специализированный позволяет сэкономить много времени. Что касается включенного по умолчанию firewall, на самом деле он всегда включен, но по умолчанию не настроено никаких правил. Разработчики, я думаю руководствуются принципом что все должно работать из коробки. По сути на обычной рабочей станции linux острой потребности что-то фильтровать межсетевым экраном нет, нет сетевых служб к которым нужно ограничить доступ и т.п. поэтому они сочли, что на это можно закрыть глаза. Ну а на сервере админ сам должен решить какие настройки применять. Про память, ну как бе Gufw это просто графический редактор правил, запустил, настроил выключил... хотя он и вешается в панельку, толку от него... ну разве что сетевую активность посмотреть. Это не тот firewall с предотвращением атак, которые встраивают в виндовые антивирусы и прочие продукты, это всего лишь гуй к ufw, который в свою очередь надстройка к iptables. Поэтому я в нем (в gufw) особого смысля не вижу, ну это кому что удобней, кому команду набить, кому мышкой тыкать. Субьективно, не о чем рассуждать. Если вам нравиться нет никаких причин этим не пользоваться. Посмотрите еще Firestarter он помнится был побогаче функционалом. 0

abrodski 1 / 1 / 1 Регистрация: 04.02.2015 Сообщений: 113
	19.05.2015, 11:16 [ТС]
	Спасибо за подробный ответ! 0

@Amet13 1362 / 1074 / 110 Регистрация: 16.03.2012 Сообщений: 4,543
	19.05.2015, 11:24
	Учите сразу IPTables. Будете его использовать в 100% случаев. 0

abrodski 1 / 1 / 1 Регистрация: 04.02.2015 Сообщений: 113
	19.05.2015, 21:23 [ТС]
	Всем спасибо за ответы, прежде всего! Что касаемо IPtables, то для новичка, я думаю, это нереально. Мне, допустим, советовали просто ввести элементарные настройки в UFW/GUFW и это для моих целей (домашний веб-сервер) вполне хватит. Кроме того, есть еще и отдельный программный продукт - IPFire (я так понимаю, что это как бы навороченный файрволл для тех у кого особые потребности, хотя мне и не совсем ясно какие...). Так или иначе, вопросы остаются. Я поясню смысл этого топика. Он не в том, чтобы разбирать тут отличия netfilter от IPTables, это я могу и сам со временем прекрасно выучить. Что я хочу понять, это направление, т.е. что именно учить. Что надо, а что необязательно. Для обычного десктопного юзанья Убунты, я так понимаю, что можно вообще ничего не делать. А вот если ставить веб-сервер, пусть даже самый простенький... 0

Dmitry
	20.05.2015, 20:02
	Не по теме: ничего, аппетит приходит во время еды... со временем и иксы уйдут, и мышка заскучает, и по ssh будете рулить всем миром... Если... действительно будете заниматься серверами 0

@bormotolog 2408 / 608 / 50 Регистрация: 17.03.2013 Сообщений: 2,212
	21.05.2015, 18:34
	abrodski, на ubuntu forum была тема вроде "Автозагрузка правил iptables". Алгоритм расписан подробнее некуда. Если этот вопрос решён, то дальше никаких сложностей, если вдумчиво читать доки. Не по теме: Чтоб не экспериментировать на работающей машине, поставьте Debian без DE на vmware под виндой и крутите как хотите. 0

abrodski 1 / 1 / 1 Регистрация: 04.02.2015 Сообщений: 113
	28.05.2015, 11:50 [ТС]
	Что-то не нашел я этой темы... 0

@mokojumbot 160 / 160 / 30 Регистрация: 09.11.2012 Сообщений: 1,008
	29.05.2015, 03:23
	в поисковик любой man iptables. учить его. 105% будут требовать знание iptables а начать.. Почитай Э. Таненбаума - Компьютерные сети 0

@bormotolog 2408 / 608 / 50 Регистрация: 17.03.2013 Сообщений: 2,212
	29.05.2015, 21:10
	abrodski, >>>> ищется так (на том форуме вверху справа есть поле для поиска; этот результат оттуда) Сразу много правил не нагромождайте. Пошагово разберётесь. Нет там ничего сложного. Путаница в основном из-за противоречивой и устаревшей информации. 0

IPtables по умолчанию в Ubuntu

Решение