Ufw usa NfTables

Quindi, iptables sta effettivamente usando nfTables.

Riepilogo:

UFW, che sta per il firewall semplice, è un programma utilizzato per gestire un firewall Netfilter. Fornisce un’interfaccia di riga di comando intuitiva e può utilizzare iptables o nfTables come backend di firewall sottostante. Il processo di installazione prevede l’avvio e l’abilitazione dell’UFW.servizio e configurazione delle regole di base del firewall per consentire o negare il traffico. Inoltre, gli utenti possono personalizzare le regole del firewall per applicazioni specifiche e persino nella lista nera alcuni indirizzi IP. UFW supporta anche la limitazione della velocità per prevenire eccessivi tentativi di connessione da un singolo indirizzo IP.

Punti chiave:

1. UFW è un programma per la gestione di un firewall Netfilter.
2. Può usare iptables o nftables come firewall back-end.
3. L’installazione prevede l’avvio e l’abilitazione di UFW.servizio.
4. La configurazione di base consente la negazione di tutto il traffico per impostazione predefinita.
5. Gli intervalli IP specifici possono essere consentiti utilizzando il comando UFW Consenti.
6. UFW può essere abilitato utilizzando il comando Abilita UFW.
7. Il comando di stato può essere utilizzato per verificare le regole applicate.
8. Esistono rule incorporate per le risposte UPNP, Avahi e DHCP.
9. Informazioni aggiuntive su UFW possono essere ottenute utilizzando il comando di stato verboso.
10. La politica in avanti può essere regolata per l’esecuzione di VPN come OpenVPN o Wireguard.

Domande:

1. Ufw usa iptables o nftables come firewall back-end?
   UFW può usare iptables o nftables come firewall back-end.
2. Come può essere installato e abilitato UFW?
   UFW può essere installato e abilitato avviando e abilitando l’UFW.servizio.
3. Qual è il comportamento predefinito di UFW?
   Il comportamento predefinito di UFW è negare tutto il traffico.
4. Come possono essere consentiti intervalli IP specifici utilizzando UFW?
   Gli intervalli IP specifici possono essere consentiti utilizzando il comando “UFW consenti”.
5. Come può essere abilitato UFW?
   UFW può essere abilitato utilizzando il comando “UFW abilita”.
6. A cosa può essere utilizzato il comando di stato in UFW?
   Il comando di stato in UFW può essere utilizzato per verificare le regole applicate.
7. Quali sono alcune delle rule incorporate in UFW?
   Le rule incorporate in UFW includono filtri per consentire risposte UPNP, Avahi e DHCP.
8. Come si possono ottenere informazioni extra su UFW?
   Informazioni aggiuntive su UFW possono essere ottenute utilizzando il comando “Stato Verbose”.
9. Come può essere regolato la politica in avanti per l’esecuzione di VPN?
   La politica in avanti può essere regolata nel file/etc/default/ufw.
10. Come possono essere aggiunte altre applicazioni a UFW?
    Altre applicazioni possono essere aggiunte a UFW creando definizioni personalizzate nelle applicazioni/etc/ufw/.directory d.
11. Come possono essere sostituite le regole standard per un’applicazione in UFW?
    Le regole standard per un’applicazione possono essere sostituite in UFW utilizzando il comando “Elimina UFW” e quindi aggiungendo le regole personalizzate.
12. Come possono essere inseriti gli indirizzi IP in UFW?
    Gli indirizzi IP possono essere nella lista nera in UFW modificando/etc/ufw/prima.Regole file e inserimento di una riga di drop iptables.
13. Cosa sta limitando la tariffa in UFW?
    La velocità di limitazione di UFW è la capacità di negare le connessioni da un indirizzo IP che ha tentato connessioni eccessive in un determinato lasso di tempo.

Risposte dettagliate:

1. Ufw usa iptables o nftables come firewall back-end?
   Sì, UFW può usare iptables o nftables come firewall back-end. Dipende dalla configurazione del sistema.
2. Come può essere installato e abilitato UFW?
   Per installare UFW, è possibile utilizzare il gestore dei pacchetti della distribuzione. Ad esempio, su Ubuntu, è possibile eseguire il comando “Sudo apt-get Installa UFW”. Una volta installato, è possibile abilitare UFW avviando e abilitando l’UFW.Servizio, che può essere fatto utilizzando il seguente comando: “Sudo SystemCtl Avvia UFW.Service && sudo systemctl abilita ufw.servizio”.
3. Qual è il comportamento predefinito di UFW?
   Il comportamento predefinito di UFW è quello di negare tutto il traffico in entrata e in uscita. Fornisce un modo semplice per gestire le regole del firewall e consentire o negare facilmente connessioni specifiche.
4. Come possono essere consentiti intervalli IP specifici utilizzando UFW?
   Per consentire intervalli IP specifici utilizzando UFW, è possibile utilizzare il comando “UFW consente da” seguito dall’intervallo IP. Ad esempio, se si desidera consentire il traffico dall’intervallo IP 192.168.0.1 a 192.168.0.255, è possibile eseguire il seguente comando: “UFW Consenti da 192.168.0.0/24 “. Ciò consentirà tutto il traffico da quell’intervallo IP.
5. Come può essere abilitato UFW?
   Per abilitare UFW, è possibile utilizzare il comando “UFW Abilita”. Ciò consentirà al firewall e applicherà le regole predefinite. Assicurati di abilitare l’UFW.Servizio anche.
6. A cosa può essere utilizzato il comando di stato in UFW?
   Il comando di stato in UFW può essere utilizzato per verificare le regole del firewall attualmente applicate. È possibile eseguire il comando “UFW Stato” per vedere le regole attive e lo stato del firewall.
7. Quali sono alcune delle rule incorporate in UFW?
   Alcune delle rule incorporate in UFW includono filtri per consentire risposte UPNP, Avahi e DHCP. Queste regole vengono applicate automaticamente da UFW per consentire alcuni tipi di traffico di rete.
8. Come si possono ottenere informazioni extra su UFW?
   È possibile utilizzare il comando “UFW Status Verbose” per ottenere ulteriori informazioni su UFW. Ciò fornirà un rapporto più dettagliato delle regole e delle configurazioni del firewall.
9. Come può essere regolato la politica in avanti per l’esecuzione di VPN?
   Per regolare il criterio in avanti per l’esecuzione di VPN, è possibile modificare la variabile default_forward_policy nel file/etc/default/ufw. Modifica il valore da “Drop” in “Accetta” per inoltrare tutti i pacchetti indipendentemente dalle impostazioni dell’interfaccia utente. Inoltre, è possibile aggiungere regole specifiche per il traffico di inoltro per un’interfaccia specifica, come WG0, in/etc/ufw/prima.File delle regole.
10. Come possono essere aggiunte altre applicazioni a UFW?
    Per aggiungere altre applicazioni a UFW, è possibile creare definizioni personalizzate nelle applicazioni/etc/ufw/.directory d. Ogni definizione di applicazione deve contenere dettagli come il titolo dell’applicazione, la descrizione e le porte da consentire o negare. È possibile utilizzare i file dell’applicazione esistenti nella directory come guida per creare le tue definizioni personalizzate.
11. Come possono essere sostituite le regole standard per un’applicazione in UFW?
    Per sostituire le regole standard per un’applicazione in UFW, è possibile utilizzare il comando “Elimina UFW” per rimuovere le regole esistenti e quindi utilizzare i comandi “UFW Consent” o “UFW Deny” per aggiungere le regole personalizzate. Ad esempio, se si desidera sostituire le regole del diluvio standard con le regole personalizzate definite in un file chiamato “Deluge-my”, è possibile eseguire i seguenti comandi: “Elimina UFW Consenti il ​​diluvio” e “UFW consentire il diluvio-my”.
12. Come possono essere inseriti gli indirizzi IP in UFW?
    Per gli indirizzi IP della blacklist in UFW, puoi modificare/etc/ufw/prima.Regole file e inserire una riga di rilascio iptables nella parte inferiore del file proprio sopra la riga “commit”. Ogni indirizzo IP o intervallo IP da blacklist dovrebbe avere una regola di caduta separata. Riavvia il servizio UFW per le modifiche per avere effetto. Ad esempio, per blacklist l’indirizzo IP 199.115.117.99, è possibile aggiungere la seguente riga: “-a UFW-FORE-INPUT -S 199.115.117.99 -J Drop “.
13. Cosa sta limitando la tariffa in UFW?
    In UFW, la limitazione della tariffa è la capacità di negare le connessioni da un indirizzo IP che ha tentato connessioni eccessive in un determinato lasso di tempo. Aiuta a proteggere dagli attacchi di forza bruta e altri tipi di attività dannose. Impostando le regole limitanti della velocità, è possibile limitare il numero di connessioni consentite da un singolo indirizzo IP in un periodo specificato. Questo può essere fatto usando il comando “UFW Limite”.

Queste risposte forniscono una comprensione dettagliata di UFW, il suo processo di installazione, la configurazione di base e le funzionalità avanzate come le regole delle applicazioni personalizzate, la blacklisting IP e la limitazione della velocità. Seguendo queste linee guida, gli utenti possono gestire efficacemente il proprio firewall e migliorare la sicurezza del loro sistema.

Ufw usa NfTables

Quindi, iptables sta effettivamente usando nfTables.

Firewall semplice

UFW sta per un firewall semplice ed è un programma per la gestione di un firewall Netfilter. Fornisce un’interfaccia della riga di comando e mira a essere semplice e facile da usare.

Nota: Va notato che UFW può usare iptables o nftables come firewall back-end. Gli utenti abituati a chiamare UFW per gestire le regole non devono intraprendere alcuna azione per apprendere le chiamate sottostanti a iptables o a nfTables grazie alla sintassi di NFT che accetta iptables, ad esempio all’interno di/etc/ufw/prima.regole .

Installazione

Avvia e abilita UFW.Servizio per renderlo disponibile all’avvio. Si noti che questo non funzionerà se iptables.Il servizio è inoltre abilitato (e lo stesso per la sua controparte IPv6).

Configurazione di base

Una configurazione molto semplicistica che negerà tutto per impostazione predefinita, consentire a qualsiasi protocollo all’interno di un 192.168.0.1-192.168.0.255 LAN e consentire il diluvio in arrivo e il traffico SSH limitato in arrivo da ovunque:

# ufw default Deny # ufw Consenti da 192.168.0.0/24 # UFW Consenti il ​​diluvio # UFW Limite SSH

La riga successiva è necessaria solo una volta La prima volta che installi il pacchetto:

# ufw abilita

Nota: Assicurati che UFW.Il servizio è stato abilitato.

Infine, interrogare le regole applicate tramite il comando di stato:

# Stato UFW

Stato: attivo all'azione da------- ---- ovunque consenti 192.168.0.0/24 diluvio consentire ovunque il limite ssh ovunque

Nota: Il rapporto sullo stato è limitato alle regole aggiunte dall’utente. Per la maggior parte dei casi questo sarà ciò che è necessario, ma è bene essere consapevoli del fatto che esistono rule incorporate. Questi includono filtri per consentire risposte UPNP, Avahi e DHCP.

Informazioni aggiuntive, comprese le politiche predefinite, possono essere viste

# UFW Stato Verbosio

Ma questo è ancora limitato alle regole specificate dall’utente. Per vedere tutte le regole impostate

# ufw show raw

può essere utilizzato, nonché ulteriori rapporti elencati nella manpaggia. Poiché questi rapporti riassumono anche il traffico, potrebbero essere in qualche modo difficili da leggere. Un altro modo per verificare il traffico accettato:

# iptables -s | grep accetta

Mentre questo funziona bene per i rapporti, tieni presente che non abilita il servizio iptables fintanto che usi UFW per gestirlo.

Nota: Se vengono impostate variabili di rete speciali sul sistema in /etc /sysctl.d/*, potrebbe essere necessario aggiornare/ecc/ufw/sysctl.Conf di conseguenza poiché questa configurazione sovrascrive le impostazioni predefinite.

Politica in avanti

Gli utenti che hanno bisogno di eseguire una VPN come OpenVPN o Wireguard possono regolare il Default_forward_policy variabile in/etc/default/ufw da un valore di “GOCCIOLARE” A “ACCETTARE” Per inoltrare tutti i pacchetti indipendentemente dalle impostazioni dell’interfaccia utente. Per inoltrare un’interfaccia specifica come WG0, L’utente può aggiungere la seguente riga in *filtro bloccare

/etc/ufw/prima.regole

# End righe richieste -a ufw -before -forward -i wg0 -j accetta -a ufw -before -forward -o wg0 -j accetta

Potrebbe anche essere necessario un rompere

/etc/ufw/sysctl.conf

net/ipv4/ip_forward = 1 net/ipv6/conf/default/forwarding = 1 net/ipv6/conf/all/forwarding = 1

Aggiunta di altre applicazioni

Il PKG viene fornito con alcuni impostazioni predefinite in base alle porte predefinite di molti demoni e programmi comuni. Ispeziona le opzioni guardando nelle applicazioni/etc/ufw/.directory d o elencandoli nel programma stesso:

# Elenco delle app UFW

Se gli utenti eseguono una qualsiasi delle applicazioni su una porta non standard, si consiglia semplicemente di realizzare/ecc/ufw/applicazioni.d/personalizzato contenente i dati necessari utilizzando le impostazioni predefinite come guida.

Avvertimento: Se gli utenti modificano uno qualsiasi dei set di regole forniti PKG, questi verranno sovrascritti la prima volta che il pacchetto UFW verrà aggiornato. Questo è il motivo per cui le definizioni di app personalizzate devono risiedere in un file non PKG come consigliato sopra!

Esempio, Diluvio con porte TCP personalizzate che vanno dal 20202-20205:

[Diluge-my] title = diluge Descrizione = diluvio Porti client BitTorrent = 20202: 20205/TCP

Se è necessario definire entrambe le porte TCP e UDP per la stessa applicazione, semplicemente separale con un tubo come mostrato: questa app apre le porte TCP 10000-10002 e la porta UDP 10003:

Porte = 10000: 10002/TCP | 10003/UDP

Si può anche usare una virgola per definire le porte se non si desidera un intervallo. Questo esempio apre le porte TCP 10000-10002 (inclusive) e le porte UDP 10003 e 10009

Porte = 10000: 10002/TCP | 10003,10009/UDP

Eliminazione delle applicazioni

Attingendo all’esempio di diluvio/diluvio sopra, quanto segue rimuoverà le regole del diluvio standard e le sostituiranno con le regole del diluvio, dall’esempio sopra:

# ufw elimina consentire diluge # ufw consente diluge-my

Interrogare il risultato tramite il comando di stato:

# Stato UFW

Stato: attivo all'azione da------- ---- ovunque consenti 192.168.0.0/24 ssh consentire ovunque il diluge-my per tutto ovunque

Indirizzi IP di elenco nero

Potrebbe essere desiderabile aggiungere indirizzi IP a una lista nera che si ottiene facilmente semplicemente modificando/etc/ufw/prima.regole e inserimento di una riga di rilasciamento iptables nella parte inferiore del file proprio sopra la parola “commit”.

/etc/ufw/prima.regole

. ## sezione blacklist # blocco solo 199.115.117.99 -a ufw -before -input -s 199.115.117.99 -J Drop # Block 184.105.*.* -A ufw -before -input -s 184.105.0.0/16 -j drop # non eliminare la linea "commit" o queste regole non verranno elaborate commit

Tasso limitando con UFW

UFW ha la possibilità di negare le connessioni da un indirizzo IP che ha tentato di avviare 6 o più connessioni negli ultimi 30 secondi. Gli utenti dovrebbero prendere in considerazione l’utilizzo di questa opzione per servizi come SSH.

Utilizzando la configurazione di base sopra, per abilitare la limitazione della velocità Sostituiremmo semplicemente il parametro Consenti con il parametro limite. La nuova regola sostituirà quindi il precedente.

# limite UFW SSH

Regola aggiornata

# Stato UFW

Stato: attivo all'azione da------- ---- ovunque consenti 192.168.0.0/24 Limite SSH ovunque diploma-mio permettete ovunque

Regole dell’utente

Tutte le regole dell’utente sono archiviate in ETC/UFW/Utente.regole ed ecc/ufw/utente6.Regole per IPv4 e IPv6 rispettivamente.

Suggerimenti e trucchi

Disabilita il ping remoto

Modifica accetta per eliminare le seguenti righe:

/etc/ufw/prima.regole

# OK Codici ICMP . -A UFW-BEFOR-INPUT -P ICMP --CMP-Type Echo-Request -j Accetta

Se si utilizza IPv6, le regole correlate sono in/etc/ufw/prima6.regole .

Disabilita la registrazione UFW

La registrazione di disabilitazione può essere utile per interrompere UFW compilando i registri del kernel (DMESG) e dei messaggi:

# UFW disconnettersi

UFW e Docker

Docker è in modalità standard scrivendo le proprie rule iptables e sebbene ignora quelli UFW. Soprattutto la modalità decennale predefinita in UFW non è considerata da Docker e non funziona. Per correggere questo comportamento consultare https: // github.com/chaifeng/ufw-downer.

Mancia: Puoi installare UFW-Docker Aur Per correggere automaticamente le rule iptables eseguendo UFW-Docker Installa . Il pacchetto può anche gestire le regole UFW relative a Docker, consultare l’aiuto di UFW-Docker .

GUI FRIFFED

Gufw

GUFW è un front-end GTK per UFW che mira a rendere la gestione di un firewall Linux il più accessibile e facile possibile. È dotato di pre-set per porte comuni e applicazioni P2P. Richiede supporto Python, UFW e GTK.

Guarda anche

• Documentazione UBuntu UFW
• ufw (8)

Ufw usa NfTables

Reddit e i suoi partner usano cookie e tecnologie simili per offrirti un’esperienza migliore.

Accettando tutti i cookie, accetti il ​​nostro utilizzo dei cookie per fornire e mantenere i nostri servizi e il nostro sito, migliorare la qualità di Reddit, personalizzare i contenuti e pubblicità Reddit e misurare l’efficacia della pubblicità.

Rifiutando i cookie non essenziali, Reddit può ancora utilizzare alcuni cookie per garantire la corretta funzionalità della nostra piattaforma.

Per ulteriori informazioni, consultare il nostro avviso sui cookie e la nostra politica sulla privacy .

Ubuntu 21.10 passati a nftables, quindi perché iptables sono ancora disponibili?

Tuttavia, avendo installato Ubuntu 21.10, vedo che ho ancora iptables (e UFW) installato per impostazione predefinita:

m@m-virtualbox: ~ $ dove iptables iptables:/usr/sbin/iptables/usr/share/iptables/usr/share/man/man8/iptables.8.gz m@m-virtualbox: ~ $ whereis ufw ufw:/usr/sbin/ufw/usr/lib/ufw/etc/ufw/usr/share/ufw/usr/share/man/man8/ufw.8.Gz 

Perché accade questo? Per quanto ne so, UFW è un wrapper intorno a iptables, non nftables. Posso usare in sicurezza questi comandi? O dovrei prendermi cura di non digitare mai iptables o UFW nel terminale?

ha chiesto il 22 ottobre 2021 alle 12:45

275 1 1 badge d’oro 3 3 badge d’argento 11 11 badge in bronzo

2 risposte 2

Dopo il tuo comando Iptables Whereis, dovresti seguire i file. Esempio, da un 20.04 Server:

Doug@S19: ~ $ Whereis iptables iptables:/usr/sbin/iptables/usr/share/iptables/usr/share/man/man8/iptables.8.gz doug@s19: ~ $ ls -l/usr/sbin/iptables lrwxrwxrwx 1 root root 26 gen 23 gennaio 2020/usr/sbin/iptable r/sbin/iptables-nft doug@s19: ~ $ ls -l/usr/sbin/iptables-nft lrwxrwxrwx 1 root root 17 febbraio 28 2020/usr/sbin/iptables-nft-> xTables-nft-multi doug@s19: ~ $ ls -l/usb/sbin/tablesables-nft-nft-> xttables-nft-multi doug@s19: ~ $ ls -l/usb/sbin/tablesables-nft-nft- 488 febbraio 28 2020/USR/SBIN/XTABLE-NFT-MULTI 

Quindi, iptables sta effettivamente usando nfTables.

Nftables può interpretare la sintassi iptables.

Risposta il 22 ottobre 2021 alle 14:45

Doug Smyties Doug Smyties

14.7k 4 4 badge d’oro 39 39 badge d’argento 57 57 badge di bronzo

readlink -f è tuo amico qui: readlink -f $ (quali iptables) ->/usr/sbin/xtables -nft -multi

9 giugno 2022 alle 6:39

Nftables può interpretare la sintassi iptables. non è Veramente vero e apparentemente non dovrebbe essere usato insieme. Vedere qui.

23 agosto 2022 alle 10:07

Non ho tutte le risposte alle tue domande ma ne ho alcune.

UFW è un livello di astrazione del firewall che può usare iptables O nftables come firewall back-end. È solo l’aiutante pratico di Ubuntu, proprio come il firewalld + firewall-cmd è per le varianti di Red Hat.

Una nuova installazione di server di Ubuntu 21.10 server mostra esattamente quello che stai vedendo: in realtà il back -end utilizza ancora iptables su un’installazione standard del server.

La mano della mano di Xtables-Nft-Multi (o semplicemente Xtables-Multi) mostra una spiegazione:

Xtables-NFT sono versioni di iptables che utilizzano l’API NfTables. Questo è un insieme di strumenti per aiutare l’amministratore di sistema a migrare il set di regole da iptables (8), ip6tables (8), arptables (8) ed ebtables (8) a nftables (8).

Per quanto posso dire, hai ragione che mentre Ubuntu sembra muoversi verso Nftables in sostituzione degli iptables, non sono ancora lì.

La cosa bella, però, è che se hai usato UFW per tutto questo tempo, nulla cambierà dalla prospettiva di gestione poiché sia ​​iptables che nftables sembrano essere intercambiabili, poiché NFT accetterà la sintassi iptables, anche se hai regole funky in/etc/ufw/prima.regole per esempio.