Czy UFW używa nftables

Tak więc iptables używa nftables.

Streszczenie:

UFW, który oznacza nieskomplikowaną zaporę ogniową, to program używany do zarządzania zaporą netfilter. Zapewnia przyjazny dla użytkownika interfejs wiersza poleceń i może używać iptables lub nftables jako backend zapory. Proces instalacji obejmuje uruchomienie i włączenie UFW.i konfigurowanie podstawowych zasad zapory, aby umożliwić lub odmówić ruchu. Ponadto użytkownicy mogą dostosować reguły zapory dla określonych aplikacji, a nawet czarną listę niektórych adresów IP. UFW obsługuje również ograniczenie stawek, aby zapobiec nadmiernym próbom połączenia z jednego adresu IP.

Kluczowe punkty:

  1. UFW to program zarządzania zaporą Netfilter.
  2. Może używać iptables lub nftables jako zapory zapory.
  3. Instalacja obejmuje uruchomienie i włączenie UFW.praca.
  4. Podstawowa konfiguracja umożliwia domyślnie zaprzeczenie całego ruchu.
  5. Określone zakresy IP można dozwolone za pomocą polecenia UFW Zezwalaj.
  6. UFW można włączyć za pomocą polecenia włączania UFW.
  7. Polecenie statusu można użyć do sprawdzenia stosowanych reguł.
  8. Wbudowane obrony istnieją dla odpowiedzi UPNP, Avahi i DHCP.
  9. Dodatkowe informacje o UFW można uzyskać za pomocą komendy Verbose Status.
  10. Polityka naprzód można dostosować do uruchamiania VPN, takich jak OpenVPN lub WireGuard.

Pytania:

  1. Czy UFW używa IPTABLES lub NFTABLES jako zapory ogniowej?
    UFW może używać IPTABLES lub NFTABALES jako zapory zapory.
  2. Jak można zainstalować i włączyć UFW?
    UFW można zainstalować i włączyć, uruchamiając i włączając UFW.praca.
  3. Jakie jest domyślne zachowanie UFW?
    Domyślnym zachowaniem UFW jest zaprzeczenie całego ruchu.
  4. Jak można dozwolone określone zakresy IP za pomocą UFW?
    Określone zakresy IP można dozwolone za pomocą polecenia „UFW zezwalaj”.
  5. Jak można włączyć UFW?
    UFW można włączyć za pomocą polecenia „UFW Enable”.
  6. Do czego można użyć polecenia statusu w UFW?
    Do sprawdzenia zastosowanych reguł można użyć polecenia statusu w UFW.
  7. Jakie są niektóre z wbudowanych rzutów w UFW?
    Wbudowane rule w UFW zawierają filtry, aby umożliwić odpowiedzi UPNP, Avahi i DHCP.
  8. Jak można uzyskać dodatkowe informacje o UFW?
    Dodatkowe informacje na temat UFW można uzyskać za pomocą polecenia „Werbe Status”.
  9. W jaki sposób można dostosować zasady naprzód do uruchamiania VPN?
    Polityka naprzód można dostosować w pliku/etc/default/UFW.
  10. Jak można dodać inne aplikacje do UFW?
    Inne aplikacje można dodać do UFW, tworząc niestandardowe definicje w/etc/ufw/aplikacje.D katalog.
  11. Jak można wymienić standardowe reguły aplikacji w UFW?
    Standardowe reguły aplikacji można wymienić w UFW za pomocą polecenia „UFW Usuń”, a następnie dodając reguły niestandardowe.
  12. W jaki sposób adresy IP mogą być na czarnej liście w UFW?
    Adresy IP mogą być na czarnej liście w UFW, edytując/etc/ufw/wcześniej.Plik reguł i wstawianie linii upuści.
  13. Co to jest ograniczenie stawki w UFW?
    Ograniczenie szybkości UFW to możliwość odmowy połączeń z adresu IP, który próbował nadmierne połączenia w określonych ramach czasowych.

Szczegółowe odpowiedzi:

  1. Czy UFW używa IPTABLES lub NFTABLES jako zapory ogniowej?
    Tak, UFW może używać iptables lub nftables jako zaporowej zapory. To zależy od konfiguracji systemu.
  2. Jak można zainstalować i włączyć UFW?
    Aby zainstalować UFW, możesz użyć menedżera opakowań dystrybucji. Na przykład na Ubuntu możesz uruchomić polecenie „Sudo apt-get install UFW”. Po zainstalowaniu możesz włączyć UFW, uruchamiając i włączając UFW.Usługa, którą można wykonać za pomocą następującego polecenia: „Sudo Systemctl Start UFW.Service && sudo systemctl włącz UFW.praca”.
  3. Jakie jest domyślne zachowanie UFW?
    Domyślnym zachowaniem UFW jest zaprzeczenie całego ruchu przychodzącego i wychodzącego. Zapewnia prosty sposób zarządzania regułami zapory i łatwe zezwolenie na lub odmawia określonych połączeń.
  4. Jak można dozwolone określone zakresy IP za pomocą UFW?
    Aby umożliwić określone zakresy IP za pomocą UFW, możesz użyć polecenia „UFW zezwalaj z”, a następnie zakres IP. Na przykład, jeśli chcesz zezwolić na ruch z zakresu IP 192.168.0.1 do 192.168.0.255, możesz uruchomić następujące polecenie: „UFW zezwala na 192.168.0.0/24 “. Umożliwi to cały ruch z tego zakresu IP.
  5. Jak można włączyć UFW?
    Aby włączyć UFW, możesz użyć polecenia „UFW Włącz”. To umożliwi zaporę ogniową i zastosowanie zasad domyślnych. Upewnij się, że włącz UFW.usługa również.
  6. Do czego można użyć polecenia statusu w UFW?
    Komenda statusu w UFW może być używana do sprawdzenia aktualnie stosowanych reguł zapory. Możesz uruchomić polecenie „status UFW”, aby zobaczyć aktywne reguły i status zapory.
  7. Jakie są niektóre z wbudowanych rzutów w UFW?
    Niektóre z wbudowanych rzutów w UFW zawierają filtry, aby umożliwić odpowiedzi UPNP, Avahi i DHCP. Reguły te są automatycznie stosowane przez UFW, aby umożliwić niektóre rodzaje ruchu sieciowego.
  8. Jak można uzyskać dodatkowe informacje o UFW?
    Możesz użyć polecenia „UFW status Verbose”, aby uzyskać dodatkowe informacje o UFW. Zapewni to bardziej szczegółowy raport z reguł i konfiguracji zapory.
  9. W jaki sposób można dostosować zasady naprzód do uruchamiania VPN?
    Aby dostosować zasady dotyczące uruchamiania VPN, możesz edytować zmienną default_forward_policy w pliku/etc/default/ufw. Zmień wartość z „upuść” na „zaakceptuj”, aby przekazać wszystkie pakiety niezależnie od ustawień interfejsu użytkownika. Dodatkowo możesz dodać określone reguły przekazywania ruchu dla określonego interfejsu, takiego jak WG0, w/etc/ufw/wcześniej.Plik reguł.
  10. Jak można dodać inne aplikacje do UFW?
    Aby dodać inne aplikacje do UFW, możesz tworzyć niestandardowe definicje w/etc/ufw/aplikacje.D katalog. Każda definicja aplikacji powinna zawierać szczegóły, takie jak tytuł aplikacji, opis i porty, które mają być dozwolone lub odrzucone. Możesz użyć istniejących plików aplikacji w katalogu jako przewodnika, aby utworzyć niestandardowe definicje.
  11. Jak można wymienić standardowe reguły aplikacji w UFW?
    Aby zastąpić standardowe reguły aplikacji w UFW, możesz użyć polecenia „UFW Usuń”, aby usunąć istniejące reguły, a następnie użyć poleceń „UFW Zezwalaj” lub „UFW odmawianie”, aby dodać reguły niestandardowe. Na przykład, jeśli chcesz zastąpić standardowe zasady zalewu niestandardowymi zasadami zdefiniowanymi w pliku o nazwie „zalew MY”, możesz uruchomić następujące polecenia: „UFW Delete Zezwalaj na potop” i „UFW Zezwalaj na potop-my”.
  12. W jaki sposób adresy IP mogą być na czarnej liście w UFW?
    Aby czarna lista adresów IP w UFW, możesz edytować/etc/ufw/wcześniej.Plik reguł i wstaw linię upuszczenia IPTABLES na dole pliku tuż nad linią „commit”. Każdy adres IP lub zakres IP, który ma być na czarnej liście, powinien mieć osobną regułę upuszczania. Uruchom ponownie usługę UFW, aby zmiany w obronie. Na przykład, aby czarna lista adres IP 199.115.117.99, możesz dodać następujący wiersz: „-A UFW-be-a przed wejście -s 199.115.117.99 -J Drop “.
  13. Co to jest ograniczenie stawki w UFW?
    W UFW ograniczanie szybkości to możliwość odmowy połączeń z adresu IP, który próbował nadmierne połączenia w określonych ramach czasowych. Pomaga chronić przed atakami brutalnej siły i innymi rodzajami złośliwej aktywności. Ustawiając reguły ograniczające szybkość, możesz ograniczyć liczbę połączeń dozwolonych z jednego adresu IP w określonym okresie. Można to zrobić za pomocą polecenia „Limit UFW”.

Odpowiedzi te zapewniają szczegółowe zrozumienie UFW, jego proces instalacji, podstawową konfigurację i zaawansowane funkcje, takie jak niestandardowe reguły aplikacji, lista czarnych i ograniczanie prędkości. Postępując zgodnie z tymi wytycznymi, użytkownicy mogą skutecznie zarządzać swoją zaporą i zwiększyć bezpieczeństwo swojego systemu.

Czy UFW używa nftables

Tak więc iptables używa nftables.

Nieskomplikowana zapora ogniowa

UFW oznacza nieskomplikowaną zaporę ogniową i jest programem zarządzania zaporą Netfilter. Zapewnia interfejs wiersza poleceń i ma być nieskomplikowane i łatwe w użyciu.

Notatka: Należy zauważyć, że UFW może używać iptables lub nftables jako zaporowej zapory. Użytkownicy przyzwyczajeni do dzwonienia UFW do zarządzania regułami nie muszą podejmować żadnych działań, aby uczyć się połączeń podstawowych do iptables lub NFTables dzięki NFT akceptując składnię IPTABLES, na przykład w/etc/ufw/wcześniej.zasady .

Instalacja

Rozpocznij i włącz UFW.usługa, aby udostępnić go w rozruchu. Zauważ, że to nie zadziała, jeśli iptables.Usługa jest również włączona (i taka sama dla jej odpowiednika IPv6).

Podstawowa konfiguracja

Bardzo uproszczona konfiguracja, która domyślnie zaprzeczy wszystkim, zezwól na dowolny protokół z wnętrza 192.168.0.1-192.168.0.255 LAN i pozwala na nadchodzący potop i oceń ograniczony ruch SSH gdziekolwiek:

# UFW domyślnie odmów # UFW zezwolić z 192.168.0.0/24 # UFW Zezwalaj na potop # UFW Limit SSH

Następna linia jest potrzebna tylko raz Po raz pierwszy zainstalujesz pakiet:

# UFW włącz

Notatka: Upewnij się, że UFW.Usługa została włączona.

Na koniec zapytaj reguły stosowane za pośrednictwem polecenia statusu:

# status UFW

Status: Aktywne do działania od------- ---- w dowolnym miejscu zezwala na 192.168.0.0/24 Potople Zezwalaj na limit SSH w dowolnym miejscu

Notatka: Raport o stanie jest ograniczony do reguł dodanych przez użytkownika. W większości przypadków będzie to potrzebne, ale dobrze jest pamiętać, że istnieją wbudowane obrony. Obejmują one filtry, które umożliwiają odpowiedzi UPNP, Avahi i DHCP.

Dodatkowe informacje, w tym domyślne zasady, można zobaczyć za pomocą

# STATUS STANU UFW

Ale nadal jest to ograniczone do reguł określonych przez użytkownika. Aby zobaczyć konfigurację wszystkich reguł

# UFW Show RAW

mogą być używane, a także dalsze raporty wymienione na stronie Manp. Ponieważ raporty te podsumowują również ruch, mogą być nieco trudne do odczytania. Inny sposób sprawdzenia zaakceptowanego ruchu:

# iptables -s | Grep zaakceptuj

Chociaż działa to dobrze w raportach, pamiętaj, aby nie włączać usługi IPTABLES, o ile używasz UFW do zarządzania nią.

Notatka: Jeśli specjalne zmienne sieciowe są ustawione w systemie w /etc /sysctl.d/*, może być konieczne aktualizacja/etc/ufw/sysctl.konflikt odpowiednio, ponieważ ta konfiguracja zastępuje ustawienia domyślne.

Polityka naprzód

Użytkownicy potrzebujący uruchomienia VPN, takiego jak OpenVPN lub WireGuard, mogą dostosować Default_forward_policy zmienna w/etc/default/ufw z wartości “UPUSZCZAĆ” Do “ZAAKCEPTOWAĆ” Aby przekazać wszystkie pakiety, niezależnie od ustawień interfejsu użytkownika. Naprzód dla określonego interfejsu, takiego jak WG0, użytkownik może dodać następujący wiersz w *filtr blok

/etc/ufw/wcześniej.zasady

# Koniec wymagane linie -a Ufw -before -forward -i wg0 -j akceptuj -a ufw -before -forward -o wg0 -j akceptuj

Być może będziesz musiał się pocukać

/etc/ufw/sysctl.conf

net/ipv4/ip_forward = 1 net/ipv6/conf/default/przekierowanie = 1 net/ipv6/conf/all/przekazywanie = 1

Dodawanie innych aplikacji

PKG ma pewne wartości domyślne w oparciu o domyślne porty wielu wspólnych demonów i programów. Sprawdź opcje, patrząc w/etc/ufw/aplikacje.D katalog d lub wymieniając je w samym programie:

# Lista aplikacji UFW

Jeśli użytkownicy uruchamiają którąkolwiek z aplikacji w niestandardowym porcie, zaleca się po prostu tworzenie/etc/ufw/aplikacje.D/niestandardowe zawierające potrzebne dane za pomocą domyślnych jako przewodnik.

Ostrzeżenie: Jeśli użytkownicy zmodyfikują którykolwiek z dostarczonych zestawów reguł PKG, zostaną one zastąpione po raz pierwszy pakiet UFW. Właśnie dlatego niestandardowe definicje aplikacji muszą znajdować się w pliku bez PKG zgodnie z zaleceniami powyżej!

Przykład, potop z niestandardowymi portami TCP, które obejmują od 20202-20205:

[Potop-my] title = zalecanie opis = zalecący BitTorrent Porty klientów = 20202: 20205/tcp

Jeśli potrzebujesz zdefiniowania zarówno portów TCP, jak i UDP dla tej samej aplikacji, po prostu oddzień je rurą, jak pokazano: Ta aplikacja otwiera porty TCP 10000-10002 i Port UDP 10003:

Porty = 10000: 10002/TCP | 10003/UDP

Można również użyć przecinka do zdefiniowania portów, jeśli zasięg nie jest pożądany. Ten przykład otwiera porty TCP 10000-10002 (włącznie) i Porty UDP 10003 i 10009

Porty = 10000: 10002/TCP | 10003,10009/UDP

Usuwanie aplikacji

Korzystając z powyższego przykładu potopu/potop-moy, poniższe zasady usunięją standardowe zasady zalewu i zastąpi je zasadami potop-moy z powyższego przykładu:

# UFW Usuń Zezwalaj na potop # ufw Zezwalaj na potop-my

Zapytaj wynik za pomocą polecenia statusu:

# status UFW

Status: Aktywne do działania od------- ---- w dowolnym miejscu zezwala na 192.168.0.0/24 SSH pozwól w dowolnym miejscu, które potop-my zezwala na dowolne miejsce

Czarne listy adresów IP

Może być pożądane dodanie adresów IP do czarnej listy, którą można łatwo osiągnąć po prostu poprzez edycję/etc/ufw/wcześniej.Zasady i wstawianie linii upuszczenia IPTABLES na dole pliku tuż nad słowem „zatwierdzenie”.

/etc/ufw/wcześniej.zasady

. ## Blacklist Section # Block tylko 199.115.117.99 -A UFW -BEOD -WPRET -s 199.115.117.99 -J Drop # blok 184.105.*.* -A UFW -b -before -wejściowe -s 184.105.0.0/16 -J Drop # Nie usuwaj wiersza „zatwierdzenie” lub te zasady nie będą przetworzone

Ograniczenie stawki z UFW

UFW ma możliwość odmowy połączeń z adresu IP, który próbował zainicjować 6 lub więcej połączeń w ciągu ostatnich 30 sekund. Użytkownicy powinni rozważyć skorzystanie z tej opcji dla usług takich jak SSH.

Korzystając z powyższej podstawowej konfiguracji, aby umożliwić ograniczenie prędkości, po prostu zastąpimy parametr zezwolenia na parametr graniczny. Nowa reguła zastąpi następnie poprzedni.

# limit UFW ssh

ZAKTUALIZOWANA ZASADA

# status UFW

Status: Aktywne do działania od------- ---- w dowolnym miejscu zezwala na 192.168.0.0/24 SSH Limit w dowolnym miejscu, które potop-my zezwala na dowolne miejsce

Reguły użytkownika

Wszystkie reguły użytkownika są przechowywane w ETC/UFW/użytkownika.reguły i etc/ufw/user6.Reguły odpowiednio IPv4 i IPv6.

Porady i wskazówki

Wyłącz zdalne ping

Zmień Akceptuj, aby upuścić w następujących wierszach:

/etc/ufw/wcześniej.zasady

# OK kody ICMP . -A UFW-be przed wejście -p icmp --ICMP-Type echo-request -j zaakceptuj

Jeśli używasz IPv6, powiązane reguły są w/etc/ufw/przed6.zasady .

Wyłącz rejestrowanie UFW

Wyłączanie rejestrowania może być przydatne, aby zatrzymać wypełnienie UFW z jądrem (DMESG) i dzienników wiadomości:

# UFW logowanie

UFW i Docker

Docker jest w trybie standardowym, pisząc własne i ignorowanie tych UFW. Zwłaszcza domyślny tryb deneny w UFW nie jest uważany przez Docker i nie działa. Aby naprawić to zachowanie, zapoznaj się z https: // github.com/chaifeng/ufw-docker.

Wskazówka: Możesz zainstalować UFW-Docker AUR Aby automatycznie naprawić iptables-rules, uruchamiając instalację UFW-Docker . Pakiet może również zarządzać regułami UFW związanymi z Docker, patrz UFW-Docker Help .

GUI Frontends

GUFW

GUFW to front GTK dla UFW, którego celem jest uczynienie zarządzania zaporą Linux tak dostępną i łatwą, jak to możliwe. Posiada wstępne zestawy do wspólnych portów i aplikacji P2P. Wymaga wsparcia Pythona, UFW i GTK.

Zobacz też

  • Dokumentacja UFW Ubuntu
  • UFW (8)

Czy UFW używa nftables

Reddit i jego partnerzy używają plików cookie i podobnych technologii, aby zapewnić lepsze wrażenia.

Akceptując wszystkie pliki cookie, zgadzasz się na korzystanie z plików cookie w celu dostarczania i utrzymywania naszych usług i witryny, poprawy jakości Reddit, personalizowanie treści i reklam Reddit oraz mierz skuteczność reklamy.

Odrzucając nieistotne pliki cookie, Reddit może nadal używać niektórych plików cookie, aby zapewnić właściwą funkcjonalność naszej platformy.

Aby uzyskać więcej informacji, zapoznaj się z naszym powiadomieniem o plikach cookie i naszej polityki prywatności .

Ubuntu 21.10 Przełączono na NFTABLES, więc dlaczego iptables jest nadal dostępny?

Jednak po zainstalowaniu Ubuntu 21.10, widzę, że nadal mam zainstalowane iptables (i UFW) domyślnie:

m@m-virtualbox: ~ $ Whereis iptables iptables:/usr/sbin/iptables/usr/share/iptables/usr/share/man/man8/iptables.8.GZ M@M-Virtualbox: ~ $ Whereis Ufw ufw:/usr/sbin/ufw/usr/lib/ufw/etc/ufw/usr/ufw/usr/share/man/man8/ufw.8.GZ

Dlaczego to się dzieje? O ile mi wiadomo, UFW jest opakowaniem wokół iptables, a nie nftables. Czy mogę bezpiecznie użyć tych poleceń? Czy powinienem dbać o nigdy nie pisać iptables ani UFW w terminalu?

zapytał 22 października 2021 o 12:45

275 1 1 Złota odznaka 3 3 srebrne odznaki 11 11 brązowych odznaki

2 Answers 2

Po swojej komendzie IPTables powinieneś śledzić pliki. Przykład z 20.04 Serwer:

Doug@S19: ~ $ Whereis iptables iptables:/usr/sbin/iptables/usr/share/iptables/usr/share/man/man8/iptables.8.GZ Doug@S19: ~ $ ls -l/usr/sbin/iptables LRWXRWXRWX 1 root 26 stycznia 23 2020/usr/sbin/iptables ->/etc/alternatywy/iptables Doug@s19: ~ $ ls -l/etc/alternatywy/iptables lRwxRwxrwx 1 root 22 kwietnia 2021/et r/sbin/iptables-nft doug@s19: ~ $ ls -l/usr/sbin/iptables-nft lrwxrwxrwx 1 root 17 lutego 28 2020/usr/sbin/iptables-nft-> xtables-nft-Multi Doug@s19: ~ $ ls -l/usr/sbin/xtables-nft-Multi-foiT 488 28 lutego 2020/usr/sbin/XTables-Nft-Multi

Tak więc iptables używa nftables.

NFTables może interpretować składnię iptables.

odpowiedział 22 października 2021 o 14:45

Doug Smythies Doug Smythies

14.7k 4 4 złote odznaki 39 39 srebrnych odznak 57 57 brązowych odznaki

ReadLink -f jest tutaj twoim przyjacielem: ReadLink -f $ (który iptables) ->/usr/sbin/xxables -nft -multi

9 czerwca 2022 o 6:39

NFTables może interpretować składnię iptables. nie jest Naprawdę prawda i najwyraźniej nie powinien być używany razem. Spójrz tutaj.

23 sierpnia 2022 o 10:07

Nie mam wszystkich odpowiedzi na twoje pytania, ale mam niektóre z nich.

UFW to warstwa abstrakcyjna zapory, która może używać albo iptables Lub nftables jako zapora zaporowa. To tylko poręczny pomocnik Ubuntu, podobnie jak Firewalld + Firewall-CMD.

Nowa instalacja serwera Ubuntu 21.10 serwer pokazuje dokładnie to, co widzisz – że w rzeczywistości zaplecza nadal używa IPTABLES na standardowej instalacji serwera.

Manpage XTABLES-NFT-MULTI (lub po prostu XXTables-Multi) pokazuje wyjaśnienie:

XXTables-NFT to wersje iptables, które używają interfejsu API NFTables. Jest to zestaw narzędzi, które pomagają administratorowi systemu migrować zestaw reguł z IPTables (8), IP6Tables (8), Arptables (8) i EBTables (8) do NFTables (8).

.

Zaletą jest to, że jeśli używasz UFW przez cały ten czas, nic nie zmieni się z perspektywy zarządzania, ponieważ zarówno iptables, jak i NFABLES wydają się być wymienne, ponieważ NFT zaakceptuje składnię iptables, nawet jeśli masz funky reguły w/etc/ufw/wcześniej.na przykład zasady.