Ufw usa nftables

Então, iptables está realmente usando nftables.

Resumo:

UFW, que significa firewall sem complicações, é um programa usado para gerenciar um firewall de netfilter. Ele fornece uma interface de linha de comando amigável e pode usar iptables ou nftables como o back-end de firewall subjacente. O processo de instalação envolve iniciar e ativar o UFW.serviço e configuração das regras básicas do firewall para permitir ou negar o tráfego. Além disso, os usuários podem personalizar as regras do firewall para aplicativos específicos e até mesmo na lista negra certos endereços IP. O UFW também suporta a limitação da taxa para evitar tentativas de conexão excessivas de um único endereço IP.

Pontos chave:

  1. O UFW é um programa para gerenciar um firewall de netfilter.
  2. Pode usar iptables ou nftables como o firewall de back-end.
  3. A instalação envolve iniciar e ativar o UFW..
  4. A configuração básica permite a negação de todo o tráfego por padrão.
  5. Intervalos de IP específicos podem ser permitidos usando o comando da UFW Permitir.
  6. UFW pode ser ativado usando o comando UFW Ativar.
  7. O comando de status pode ser usado para verificar as regras aplicadas.
  8. Existe ruas construídas para respostas UPNP, Avahi e DHCP.
  9. Informações extras sobre o UFW podem ser obtidas usando o comando de status detalhado.
  10. A política avançada pode ser ajustada para executar VPNs como OpenVPN ou Wireguard.

Questões:

  1. Ufw usa iptables ou nftables como o firewall back-end?
    UFW pode usar iptables ou nftables como o firewall de back-end.
  2. Como o UFW pode ser instalado e ativado?
    UFW pode ser instalado e ativado iniciando e ativando o UFW.serviço.
  3. Qual é o comportamento padrão da UFW?
    O comportamento padrão da UFW é negar todo o tráfego.
  4. Como os intervalos de IP específicos podem ser permitidos usando UFW?
    Intervalos de IP específicos podem ser permitidos usando o comando “ufw permitir”.
  5. Como o UFW pode ser ativado?
    UFW pode ser ativado usando o comando “UFW Ativar”.
  6. Para que o comando de status pode ser usado para?
    O comando de status na UFW pode ser usado para verificar as regras aplicadas.
  7. Quais são algumas das regras construídas na UFW?
    As ruas construídas na UFW incluem filtros para permitir que o UPNP, Avahi e DHCP respondam.
  8. Como informações extras sobre UFW podem ser obtidas?
    Informações extras sobre UFW podem ser obtidas usando o comando “status verbose”.
  9. Como a política avançada pode ser ajustada para a execução de VPNs?
    A política avançada pode ser ajustada no arquivo/etc/padrão/ufw.
  10. Como outros aplicativos podem ser adicionados ao UFW?
    Outros aplicativos podem ser adicionados à UFW criando definições personalizadas no/etc/ufw/aplicativos.diretório D.
  11. Como as regras padrão para um aplicativo podem ser substituídas na UFW?
    As regras padrão para um aplicativo podem ser substituídas na UFW usando o comando “ufw delete” e depois adicionando as regras personalizadas.
  12. Como os endereços IP podem estar na lista negra em UFW?
    Os endereços IP podem ser na lista negra na UFW editando o/etc/ufw/antes.Arquivo de regras e inserindo uma linha de gota iptables.
  13. O que é limitação de taxa em ufw?
    A limitação da taxa na UFW é a capacidade de negar conexões de um endereço IP que tentou conexões excessivas dentro de um determinado período de tempo.

Respostas detalhadas:

  1. Ufw usa iptables ou nftables como o firewall back-end?
    Sim, a UFW pode usar iptables ou nftables como o firewall de back-end. Depende da configuração do sistema.
  2. Como o UFW pode ser instalado e ativado?
    Para instalar o UFW, você pode usar o gerenciador de pacotes de sua distribuição. Por exemplo, no Ubuntu, você pode executar o comando “sudo apt-get install ufw”. Depois de instalado, você pode ativar o UFW iniciando e ativando o UFW.Serviço, que pode ser feito usando o seguinte comando: “SUDO SYSTEMCTL START UFW.serviço && sudo systemctl atabille ufw.serviço”.
  3. Qual é o comportamento padrão da UFW?
    O comportamento padrão da UFW é negar todo o tráfego de entrada e saída. Ele fornece uma maneira simples de gerenciar as regras do firewall e permitir ou negar facilmente conexões específicas.
  4. Como os intervalos de IP específicos podem ser permitidos usando UFW?
    Para permitir intervalos de IP específicos usando o UFW, você pode usar o comando “UFW Allow From” seguido pelo intervalo IP. Por exemplo, se você deseja permitir o tráfego do intervalo de IP 192.168.0.1 a 192.168.0.255, você pode executar o seguinte comando: “UFW Permitir de 192.168.0.0/24 “. Isso permitirá todo o tráfego desse intervalo de IP.
  5. Como o UFW pode ser ativado?
    Para ativar o UFW, você pode usar o comando “UFW Ativar”. Isso permitirá o firewall e aplicará as regras padrão. Certifique -se de ativar o UFW.serviço também.
  6. Para que o comando de status pode ser usado para?
    O comando de status na UFW pode ser usado para verificar as regras de firewall atualmente aplicadas. Você pode executar o comando “UFW Status” para ver as regras ativas e o status do firewall.
  7. Quais são algumas das regras construídas na UFW?
    Algumas das regras construídas na UFW incluem filtros para permitir que o UPNP, Avahi e o DHCP responda. Essas regras são aplicadas automaticamente pela UFW para permitir certos tipos de tráfego de rede.
  8. Como informações extras sobre UFW podem ser obtidas?
    Você pode usar o comando “status ufw verbose” para obter informações extras sobre UFW. Isso fornecerá um relatório mais detalhado das regras e configurações do firewall.
  9. Como a política avançada pode ser ajustada para a execução de VPNs?
    Para ajustar a política avançada para a execução de VPNs, você pode editar a variável default_forward_policy no arquivo/etc/default/ufw. Altere o valor de “Drop” para “aceitar” para encaminhar todos os pacotes, independentemente das configurações da interface do usuário. Além disso, você pode adicionar regras específicas para encaminhar o tráfego para uma interface específica, como o WG0, no/etc/ufw/antes.arquivo de regras.
  10. Como outros aplicativos podem ser adicionados ao UFW?
    Para adicionar outros aplicativos à UFW, você pode criar definições personalizadas no/etc/ufw/aplicativos.diretório D. Cada definição de aplicação deve conter detalhes como o título do aplicativo, a descrição e as portas a serem permitidas ou negado. Você pode usar os arquivos de aplicativos existentes no diretório como um guia para criar suas definições personalizadas.
  11. Como as regras padrão para um aplicativo podem ser substituídas na UFW?
    Para substituir as regras padrão para um aplicativo na UFW, você pode usar o comando “ufw excluir” para remover as regras existentes e, em seguida, usar os comandos “ufw permitir” ou “ufw negar” para adicionar as regras personalizadas. Por exemplo, se você deseja substituir as regras de dilúvio padrão por regras personalizadas definidas em um arquivo chamado “Deluge-My”, poderá executar os seguintes comandos: “UFW Delete Allow Diluge” e “Ufw Allow-My”.
  12. Como os endereços IP podem estar na lista negra em UFW?
    Para endereços IP da lista negra na UFW, você pode editar o/etc/ufw/antes.Arquivo de regras e insira uma linha de gota iptables na parte inferior do arquivo logo acima da linha “Commiti”. Cada endereço IP ou intervalo de IP a ser na lista negra deve ter uma regra de queda separada. Reinicie o serviço da UFW para que as mudanças entrem em vigor. Por exemplo, na lista negra do endereço IP 199.115.117.99, você pode adicionar a seguinte linha: “-A UFW-BEFE-INPUT -S 199.115.117.99 -J Drop “.
  13. O que é limitação de taxa em ufw?
    Na UFW, a limitação da taxa é a capacidade de negar conexões de um endereço IP que tentou conexões excessivas dentro de um determinado período de tempo. Ajuda a proteger contra ataques de força bruta e outros tipos de atividade maliciosa. Ao definir regras de limitação da taxa, você pode restringir o número de conexões permitidas de um único endereço IP dentro de um período especificado. Isso pode ser feito usando o comando “UFW Limit”.

Essas respostas fornecem um entendimento detalhado da UFW, seu processo de instalação, configuração básica e recursos avançados, como regras de aplicativos personalizadas, lista negra de IP e limitação de taxa. Ao seguir estas diretrizes, os usuários podem gerenciar efetivamente seu firewall e aprimorar a segurança de seu sistema.

Ufw usa nftables

Então, iptables está realmente usando nftables.

Firewall não complicado

O UFW significa firewall não complicado e é um programa para gerenciar um firewall de netfilter. Ele fornece uma interface da linha de comando e pretende ser simples e fácil de usar.

Deve-se notar que o UFW pode usar iptables ou nftables como o firewall de back-end. Os usuários acostumados a ligar para a UFW para gerenciar regras não precisam tomar nenhuma ação para aprender chamadas subjacentes a iptables ou para nftables graças à NFT que aceita a sintaxe iptables, por exemplo/etc/ufw/antes.regras .

Instalação

Inicie e habilite UFW.Serviço para disponibilizá -lo em inicialização. Observe que isso não funcionará se iptables.O serviço também está ativado (e o mesmo para sua contraparte IPv6).

Configuração básica

Uma configuração muito simplista que negará tudo por padrão, permita qualquer protocolo de dentro de um 192.168.0.1-192.168.0.255 LAN, e permitir o dilúvio de entrada e classificar o tráfego SSH limitado de em qualquer lugar:

# ufw padrão nega # ufw permitir de 192.168.0.0/24 # ufw permitir dilúvio # ufw limite ssh

A próxima linha só é necessária uma vez A primeira vez que você instala o pacote:

# UFW Ativar

Observação: Verifique se o UFW.O serviço foi ativado.

Finalmente, consulte as regras que estão sendo aplicadas através do comando de status:

# status da UFW

Status: ativo à ação de------- ---- em qualquer lugar permita 192.168.0.0/24 Dilúvio permita o limite SSH em qualquer lugar em qualquer lugar

Observação: O relatório de status é limitado às regras adicionadas pelo usuário. Para a maioria dos casos. Estes incluem filtros para permitir respostas UPNP, Avahi e DHCP.

Informações extras, incluindo as políticas padrão, podem ser vistas com

# status ufw detalhado

Mas isso ainda está limitado às regras especificadas pelo usuário. Para ver todas as regras configuradas

# ufw show cru

pode ser usado, bem como outros relatórios listados na manpra. Como esses relatórios também resumem o tráfego, eles podem ser um pouco difíceis de ler. Outra maneira de verificar o tráfego aceito:

# iptables -s | Grep aceita

Embora isso funcione bem para relatar, lembre.

Observação: Se variáveis ​​de rede especiais estiverem definidas no sistema em /etc /sysctl.d/*, pode ser necessário atualizar/etc/ufw/sysctl.Confam, pois essa configuração substitui as configurações padrão.

Política para a Forward

Os usuários que precisam executar uma VPN como OpenVPN ou Wireguard podem ajustar o Default_forward_policy variável em/etc/padrão/ufw de um valor de “DERRUBAR” para “ACEITAR” Para encaminhar todos os pacotes, independentemente das configurações da interface do usuário. Para encaminhar para uma interface específica como WG0, *filtro bloquear

/etc/ufw/antes.regras

# Fim necessários linhas -um UFW -BEFE -AFORDO -I -WG0 -J ACEITO -A UFW -BEFORME -AFORDO -O WG0 -J ACEITO

Você também pode precisar de descomentar

/etc/ufw/sysctl.conf

net/ipv4/ip_forward = 1 net/ipv6/conf/default/encaminhamento = 1 net/ipv6/conf/all/encaminhamento = 1

Adicionando outros aplicativos

O PKG vem com alguns padrões com base nas portas padrão de muitos daemons e programas comuns. Inspecione as opções olhando no/etc/ufw/aplicativos.D Diretório ou listando -os no próprio programa:

# Lista de aplicativos ufw

Se os usuários estiverem executando algum dos aplicativos em uma porta não padrão, é recomendável simplesmente fazer/etc/ufw/aplicativos.d/personalizado contendo os dados necessários usando os padrões como um guia.

Aviso: . É por isso que as definições de aplicativos personalizadas precisam residir em um arquivo não PKG, conforme recomendado acima!

Exemplo, dilúvio com portas TCP personalizadas que variam de 20202-20205:

[DLUGE-MY] Título = Dilúvio Descrição = Dilúvio BitTorrent Client Ports = 20202: 20205/TCP

Se você precisar definir portas TCP e UDP para o mesmo aplicativo, basta separá-las com um tubo, como mostrado: este aplicativo abre portas TCP 10000-10002 e UDP Port 10003:

portas = 10000: 10002/tcp | 10003/udp

Também se pode usar uma vírgula para definir portas se um intervalo não for desejado. Este exemplo abre as portas TCP 10000-10002 (inclusive) e as portas UDP 10003 e 10009

portas = 10000: 10002/tcp | 10003.10009/UDP

Excluindo aplicações

Com base no exemplo do Dilúvio/Deluge-My acima, o seguinte removerá as regras padrão do Dilúvio e as substituirá pelas regras do Deluge-My do exemplo acima:

# ufw excluir permitir dilúvio # ufw permitir diluge-meu

Consulte o resultado através do comando de status:

# status da UFW

Status: ativo à ação de------- ---- em qualquer lugar permita 192.168.0.0/24 SSH Permitir em qualquer lugar de dilúvio-permitir em qualquer lugar

Endereços IP de listagem preta

Pode ser desejável adicionar endereços IP a uma lista negra que é facilmente alcançada simplesmente editando/etc/ufw/antes.regras e inserindo uma linha de gota iptables na parte inferior do arquivo logo acima da palavra “Commit”.

/etc/ufw/antes.regras

. ## Blacklist Seção # Bloco apenas 199.115.117.99 -A UFW -BEFE -Input -s 199.115.117.99 -J Drop # Bloco 184.105.*.* -A UFW -BEFE -Input -s 184.105.0.0/16 -J Drop # Não exclua a linha 'Commit' ou essas regras não serão processadas

Taxa Limitador com UFW

A UFW tem a capacidade de negar conexões de um endereço IP que tentou iniciar 6 ou mais conexões nos últimos 30 segundos. Os usuários devem considerar usar esta opção para serviços como SSH.

Usando a configuração básica acima, para ativar a limitação da taxa, simplesmente substituímos o parâmetro de permitir pelo parâmetro limite. A nova regra substituirá o anterior.

# ufw limite ssh

Regra atualizada

# status da UFW

Status: ativo à ação de------- ---- em qualquer lugar permita 192.168.0.0/24 SSH LIMIT A qualquer lugar Diluge-My permitir em qualquer lugar

Regras do usuário

Todas as regras do usuário são armazenadas em etc/ufw/usuário.regras e etc/ufw/user6.Regras para IPv4 e IPv6, respectivamente.

Dicas e truques

Desative ping remoto

Mudança aceita a queda nas seguintes linhas:

/etc/ufw/antes.regras

# ok códigos ICMP . -Um ufw-before-input -p ICMP --icmp-type eco-request -j aceita

Se você usa IPv6, as regras relacionadas estão em/etc/ufw/antes6.regras .

Desative o log do UFW

Desativar o registro pode ser útil para impedir que o UFW preencha o kernel (DMESG) e os logs de mensagens:

# ufw logoff

Ufw e Docker

Docker está no modo padrão escrevendo suas próprias iptables-Rules e, apesar de ignorar as UFW. Especialmente o modo padrão-deno na UFW não é considerado pelo Docker e não está funcionando. Para corrigir esse comportamento, consulte https: // github.com/chaifeng/ufw-docker.

Dica: Você pode instalar ufw-docker Aur Para corrigir automaticamente as rupias iptables executando a instalação do Docker UFW . O pacote também pode gerenciar as regras do UFW relacionadas ao Docker, consulte a ajuda do UFW-Docker .

GUI frontend

GUFW

O GUFW é um front-end GTK para UFW que visa tornar o gerenciamento de um firewall do Linux o mais acessível e fácil possível. Possui presets para portas comuns e aplicativos P2P. Requer suporte para python, UFW e GTK.

Veja também

  • Documentação Ubuntu UFW
  • ufw (8)

Ufw usa nftables

O Reddit e seus parceiros usam cookies e tecnologias semelhantes para proporcionar uma experiência melhor.

Ao aceitar todos os cookies, você concorda com o uso de cookies para fornecer e manter nossos serviços e site, melhorar a qualidade do Reddit, personalizar o conteúdo e publicidade do Reddit e medir a eficácia da publicidade.

Ao rejeitar cookies não essenciais, o Reddit ainda pode usar certos cookies para garantir a funcionalidade adequada de nossa plataforma.

Para mais informações, consulte nosso aviso de cookie e nossa política de privacidade .

Ubuntu 21.10 mudou para Nftables, então por que os iptables ainda estão disponíveis?

No entanto, depois de instalar o Ubuntu 21.10, posso ver que ainda tenho iptables (e UFW) instalados por padrão:

m@m-virtualbox: ~ $ whereis iptables iptables:/usr/sbin/iptables/usr/share/iptables/usr/share/man/man8/iptables.8.gz m@m-virtualbox: ~ $ whereis ufw ufw:/usr/sbin/ufw/usr/lib/ufw/etc/ufw/usr/share/ufw/usr/share/man/man8/ufw.8.gz

Por que isso acontece? Tanto quanto eu sei, o UFW é um invólucro em torno de iptables, não nftables. Posso usar com segurança esses comandos? Ou devo tomar cuidado para nunca digitar iptables ou ufw no terminal?

Perguntado em 22 de outubro de 2021 às 12:45

275 1 1 crachá de ouro 3 3 crachás de prata 11 11 crachás de bronze

Após o seu comando whereis iptables, você deve seguir os arquivos. Exemplo, de 20.04 servidor:

Doug@s19: ~ $ whereis iptables iptables:/usr/sbin/iptables/usr/share/iptables/usr/share/man/man8/iptables.8.gz doug@s19:~$ ls -l /usr/sbin/iptables lrwxrwxrwx 1 root root 26 Jan 23 2020 /usr/sbin/iptables -> /etc/alternatives/iptables doug@s19:~$ ls -l /etc/alternatives/iptables lrwxrwxrwx 1 root root 22 Apr 18 2021 /etc/alternatives/iptables -> /usr/sbin/iptables-nft doug@s19:~$ ls -l /usr/sbin/iptables-nft lrwxrwxrwx 1 root root 17 Feb 28 2020 /usr/sbin/iptables-nft -> xtables-nft-multi doug@s19:~$ ls -l /usr/sbin/xtables-nft-multi -rwxr-xr-x 1 root root 220488 Feb 28 2020 /usr/sbin/xtables-nft-multi

Então, iptables está realmente usando nftables.

Nftables pode interpretar a sintaxe iptables.

Respondeu 22 de outubro de 2021 às 14:45

Doug Smythies Doug Smythies

14.7K 4 4 Crachás de ouro 39 39 Crachás de prata 57 57 Crachás de bronze

readlink -f é seu amigo aqui: readlink -f $ (que iptables) ->/usr/sbin/xtables -nft -multi

9 de junho de 2022 às 6:39

Nftables pode interpretar a sintaxe iptables. não é realmente verdadeiro e aparentemente não deve ser usado juntos. Veja aqui.

23 de agosto de 2022 às 10:07

Eu não tenho todas as respostas para suas perguntas, mas tenho algumas delas.

UFW é uma camada de abstração de firewall que pode usar iptables ou nftables como o firewall de back-end. É apenas o ajudante útil do Ubuntu, assim como o firewalld + firewall-cmd são para variantes de chapéu vermelho.

Uma nova instalação de servidor do Ubuntu 21.10 servidor mostra exatamente o que você está vendo – que de fato o back -end ainda está usando iptables em uma instalação de servidor padrão.

A mangueira de xtables-nft-multi (ou simplesmente xtables-multi) mostra uma explicação:

Xtables-NFT são versões de iptables que usam a API NFTABLES. Este é um conjunto de ferramentas para ajudar o administrador do sistema a migrar o conjunto de regras de iptables (8), IP6Tables (8), Arptables (8) e Ebtables (8) a Nftables (8).

Até onde eu sei, você está correto que, embora o Ubuntu pareça estar se movendo em direção a Nftables como um substituto para iptables, eles ainda não estão lá.

O bom, porém, é que, se você está usando o UFW todo esse tempo, nada mudará do ponto de vista do gerenciamento, pois os iptables e os nftables parecem intercambiáveis, pois a NFT aceitará a sintaxe iptables, mesmo que você tenha regras descoladas em/etc/ufw/antes.regras, por exemplo.