Использует ли UFW nftables

Итак, iptables на самом деле использует nftables.

Краткое содержание:

UFW, который означает несложный брандмауэр, является программой, используемой для управления брандмауэром NetFilter. Он обеспечивает удобную интерфейс командной строки и может использовать iptables или nftables в качестве основного брандмауэра. Процесс установки включает запуск и включение UFW.обслуживание и настройка основных правил брандмауэра, чтобы разрешить или отклонить трафик. Кроме того, пользователи могут настроить правила брандмауэра для конкретных приложений и даже черный список определенных IP -адресов. UFW также поддерживает ограничение скорости, чтобы предотвратить чрезмерные попытки соединения с одного IP -адреса.

Ключевые моменты:

  1. UFW – это программа для управления брандмауэром NetFilter.
  2. Он может использовать либо iptables, либо NFTABLES в качестве брандмауэра в конце.
  3. Установка включает запуск и включение UFW.услуга.
  4. Основная конфигурация позволяет по умолчанию отрицание всего трафика.
  5. Конкретные IP -диапазоны могут быть разрешены с помощью команды UFW All.
  6. UFW можно включить с помощью команды UFW Enable.
  7. Команда статуса может использоваться для проверки примененных правил.
  8. Существуют строительные правила для ответов UPNP, Avahi и DHCP.
  9. Дополнительная информация о UFW может быть получена с использованием команды Verbose Status.
  10. Политика вперед может быть скорректирована для запуска VPN, таких как OpenVPN или Wireguard.

Вопросы:

  1. Использует ли UFW iptables или nftables в качестве среднего брандмауэра?
    UFW может использовать либо iptables, либо NFTables в качестве брандмауэра в конце.
  2. Как можно установить и включить UFW?
    UFW может быть установлен и включен, запустив и включив UFW.услуга.
  3. Какое поведение UFW по умолчанию?
    Поведение UFW по умолчанию – отрицать весь трафик.
  4. Как можно разрешить конкретные IP -диапазоны с использованием UFW?
    Конкретные IP -диапазоны могут быть разрешены с помощью команды “UFW Allion”.
  5. Как можно включить UFW?
    UFW может быть включен с помощью команды “UFW inable”.
  6. Для чего можно использовать команду Status в UFW?
    Команда статуса в UFW может использоваться для проверки примененных правил.
  7. Какие из строительных рук в UFW?
    Строительные правила в UFW включают в себя фильтры, позволяющие upnp, avahi и dhcp ответы.
  8. Как можно получить дополнительную информацию о UFW?
    Дополнительная информация о UFW может быть получена с использованием команды “Verbose”.
  9. Как можно скорректировать прямое политику для запуска VPNS?
    Политика прямой может быть скорректирована в файле/etc/default/ufw.
  10. Как можно добавить другие приложения в UFW?
    Другие приложения могут быть добавлены в UFW, создав пользовательские определения в/etc/ufw/приложениях.D каталог.
  11. Как можно заменить стандартные правила для приложения в UFW?
    Стандартные правила для приложения могут быть заменены в UFW, используя команду «UFW Delete», а затем добавив пользовательские правила.
  12. Как IP -адреса могут быть в черном списке в UFW?
    IP -адреса могут быть введены в черный список в UFW, редактируя/etc/ufw/перед.Файл правил и вставка линии выбросов iptables.
  13. Что ограничивает ставку в UFW?
    Ограничение скорости в UFW – это возможность отрицать соединения по IP -адресу, который пытался сделать чрезмерные соединения в течение определенных сроков.

Подробные ответы:

  1. Использует ли UFW iptables или nftables в качестве среднего брандмауэра?
    Да, UFW может использовать либо IPTables, либо NFTABLES в качестве брандмауэра на основе. Это зависит от конфигурации системы.
  2. Как можно установить и включить UFW?
    Чтобы установить UFW, вы можете использовать диспетчер пакетов вашего дистрибуции. Например, на Ubuntu вы можете запустить команду “Sudo apt-get install ufw”. После установки вы можете включить UFW, запустив и включив UFW.Сервис, которая может быть выполнена с помощью следующей команды: «Sudo SystemCtl Start UFW.Service && sudo SystemCtl включить UFW.услуга”.
  3. Какое поведение UFW по умолчанию?
    Поведение UFW по умолчанию – отрицать весь входящий и исходящий трафик. Он обеспечивает простой способ управления правилами брандмауэра и легко разрешать или отрицать конкретные соединения.
  4. Как можно разрешить конкретные IP -диапазоны с использованием UFW?
    Чтобы разрешить определенные IP -диапазоны с помощью UFW, вы можете использовать команду «UFW разрешить» от », за которой следует диапазон IP. Например, если вы хотите разрешить трафик из диапазона IP 192.168.0.1 по 192.168.0.255, вы можете запустить следующую команду: «UFW разрешить из 192.168.0.0/24 “. Это позволит весь трафик из этого диапазона IP.
  5. Как можно включить UFW?
    Чтобы включить UFW, вы можете использовать команду “UFW включить”. Это позволит получить брандмауэр и применить правила по умолчанию. Обязательно включите UFW.обслуживание.
  6. Для чего можно использовать команду Status в UFW?
    Команда статуса в UFW может использоваться для проверки в настоящее время применяемых правил брандмауэра. Вы можете запустить команду «статус UFW», чтобы увидеть активные правила и статус брандмауэра.
  7. Какие из строительных рук в UFW?
    Некоторые из строительных рук в UFW включают фильтры, чтобы позволить ответам UPNP, Avahi и DHCP. Эти правила автоматически применяются UFW, чтобы разрешить определенные типы сетевого трафика.
  8. Как можно получить дополнительную информацию о UFW?
    Вы можете использовать команду «ufw verbose» для получения дополнительной информации о UFW. Это предоставит более подробный отчет о правилах и конфигурациях брандмауэра.
  9. Как можно скорректировать прямое политику для запуска VPNS?
    Чтобы настроить политику «Прямой» для запуска VPNS, вы можете отредактировать переменную default_forward_policy в файле/etc/default/ufw. Измените значение с «Drop» на «Принять», чтобы пересылать все пакеты независимо от настройки пользовательского интерфейса. Кроме того, вы можете добавить конкретные правила для пересылки трафика для конкретного интерфейса, такого как WG0, в/etc/ufw/перед.Файл правил.
  10. Как можно добавить другие приложения в UFW?
    Чтобы добавить другие приложения в UFW, вы можете создавать пользовательские определения в/etc/ufw/приложениях.D каталог. Каждое определение приложения должно содержать такие данные, как заголовок приложения, описание и порты, которые будут разрешены или запрещены. Вы можете использовать существующие файлы приложений в каталоге в качестве руководства для создания пользовательских определений.
  11. Как можно заменить стандартные правила для приложения в UFW?
    Чтобы заменить стандартные правила для приложения в UFW, вы можете использовать команду «UFW DELETE» для удаления существующих правил, а затем использовать команды «UFW ALLECT» или «UFW DINY» для добавления пользовательских правил. Например, если вы хотите заменить стандартные правила потока на пользовательские правила, определенные в файле, называемом «Cluge-my», вы можете запустить следующие команды: «UFW Delete Allaud Coluge» и «UFW разрешить поток-my».
  12. Как IP -адреса могут быть в черном списке в UFW?
    Для черных IP -адресов в UFW вы можете редактировать/etc/ufw/перед.Файл правил и вставьте линию DEPABLES в нижней части файла прямо над строкой «Commit». Каждый IP -адрес или IP -диапазон для черного списка должен иметь отдельное правило падения. Перезагрузить службу UFW для изменений, которые вступают в силу. Например, в черном списке IP -адрес 199.115.117.99, вы можете добавить следующую строку: “-a Ufw-before-input -s 199.115.117.99 -J Drop “.
  13. Что ограничивает ставку в UFW?
    В UFW ограничение скорости – это возможность отрицать соединения по IP -адресу, который пытался сделать чрезмерные соединения в течение определенных сроков. Это помогает защитить от атак грубой силы и других видов вредоносной деятельности. Установив правила ограничения ставки, вы можете ограничить количество подключений, разрешенных с одного IP -адреса в течение указанного периода. Это можно сделать, используя команду “UFW Limit”.

Эти ответы дают подробное понимание UFW, его процесса установки, базовой конфигурации и расширенных функций, таких как пользовательские правила применения, IP -списки и ограничение скорости. Следуя этим руководящим принципам, пользователи могут эффективно управлять своим брандмауэром и повысить безопасность своей системы.

Использует ли UFW nftables

Итак, iptables на самом деле использует nftables.

Несложный брандмауэр

UFW означает неосложненного брандмауэра и является программой для управления брандмауэром NetFilter. Он предоставляет интерфейс командной строки и стремится быть несложным и простым в использовании.

Примечание: Следует отметить, что UFW может использовать либо iptables, либо NFTables в качестве среднего брандмауэра. Пользователи, привыкшие к вызову UFW для управления правилами, не нужно предпринимать никаких действий, чтобы изучать основные вызовы IPTables или NFTABLE, благодаря NFT, принимающему синтаксис iptables, например, в/и т. Д./UFW/перед.правила .

Монтаж

Начните и включите UFW.услуга, чтобы сделать его доступным на загрузке. Обратите внимание, что это не сработает, если iptables.Сервис также включен (и то же самое для его аналога IPv6).

Базовая конфигурация

Очень упрощенная конфигурация, которая по умолчанию отрицает все, разрешайте любой протокол изнутри 192.168.0.1-192.168.0.255 локальных счетов, и разрешайте входящий потоп и оценивать ограниченный трафик SSH от в любом месте:

# UFW DEFAULT DINY # UFW разрешить из 192.168.0.0/24 # ufw разрешить Cluge # UFW Limit SSH

Следующая строка необходима только один раз В первый раз, когда вы установите пакет:

# UFW включить

Примечание: Убедитесь, что UFW.Сервис был включен.

Наконец, запросите правила, применяемые через команду статуса:

# статус UFW

Статус: Активность к действию от------- ---- где угодно.168.0.0/24 Полученное разрешение в любом месте

Примечание: Отчет о состоянии ограничен правилами, добавленными пользователем. В большинстве случаев это будет то, что нужно, но хорошо знать, что строительные правила существуют. К ним относятся фильтры, чтобы разрешить upnp, avahi и dhcp ответы.

Дополнительная информация, включая политики по умолчанию, можно увидеть с

# ufw verbose verbose

Но это все еще ограничено правилами, определенными пользователем. Чтобы увидеть все настройки правил

# ufw show raw

могут быть использованы, а также дальнейшие отчеты, перечисленные в Manpage. Поскольку эти отчеты также суммируют трафик, их может быть несколько трудно читать. Другой способ проверить принятый трафик:

# iptables -s | Греп Принят

Хотя это отлично работает для отчетности, имейте в виду, что не позволяет услугу iptables, если вы используете UFW для управления им.

Примечание: Если в системе установлены специальные сетевые переменные в /etc /sysctl.D/*, может потребоваться обновление/и т. Д./UFW/SYSCTL.Соответственно, поскольку эта конфигурация переопределяет настройки по умолчанию.

Продвигательная политика

Пользователям, которым необходимо запустить VPN, такой как OpenVPN или Wireguard, могут отрегулировать Default_forward_policy переменная в/etc/default/ufw из значения “УРОНИТЬ” к “ПРИНИМАТЬ” Пересыпать все пакеты независимо от настройки пользовательского интерфейса. Пересылать для конкретного интерфейса, например WG0, Пользователь может добавить следующую строку в *фильтр блокировать

/и т. Д./UFW/перед.правила

# Конец необходимых строк -ufw -before -forward -i wg0 -j принять -a ufw -before -forward -o wg0 -j принять

Вам также может понадобиться расстроить

/etc/ufw/sysctl.конфликт

net/ipv4/ip_forward = 1 net/ipv6/conf/default/forturning = 1 net/ipv6/conf/all/forturing = 1

Добавление других приложений

PKG поставляется с некоторыми значениями по умолчанию на основе портов по умолчанию многих общих демонов и программ. Осмотрите варианты, посмотрев в приложениях/etc/ufw/.D каталог или перечисляя их в самой программе:

# список приложений UFW

Если пользователи запускают какое-либо из приложений в нестандартном порте, рекомендуется просто сделать/и т. Д./UFW/приложения.D/Custom, содержащий необходимые данные, используя по умолчанию в качестве руководства.

Предупреждение: Если пользователи изменят какой -либо из наборов правил PKG, они будут перезаписаны в первый раз, когда пакет UFW будет. Вот почему пользовательские определения приложений должны находиться в не-PKG-файле, как рекомендовано выше!

Пример, потоп с пользовательскими портами TCP, которые варьируются от 20202-20205 гг

[Clounge-my] title = Coluge Description = Colde BitTorrent Client Ports = 20202: 20205/TCP

Если вам потребуется определить как порты TCP, так и UDP для одного и того же приложения, просто отделите их с помощью трубы, как показано: Это приложение открывает порты TCP 10000-10002 и UDP-порт 10003:

Порты = 10000: 10002/TCP | 10003/UDP

Можно также использовать запятую для определения портов, если диапазон не требуется. Этот пример открывает порты TCP 10000-10002 (включительно) и UDP-порты 10003 и 10009

Порты = 10000: 10002/TCP | 10003,10009/UDP

Удаление приложений

Опираясь на пример приведенного выше потопа/потопа, в следующем, удаляет стандартные правила потока и заменит их на правила потока-мои из приведенного выше примера:

# UFW DELETE Разрешить CLONUGE # UFW разрешить потоп-my

Запросите результат через команду Status:

# статус UFW

Статус: Активность к действию от------- ---- где угодно.168.0.0/24 SSH разрешить куда-нибудь понашовать

Черные листинги IP -адреса

Возможно, было бы желательно добавить IP -адреса в черный список, который легко достигнут просто путем редактирования/и т. Д./UFW/перед.Правила и вставка линии отбрасывания iptables в нижней части файла прямо над словом “Commit”.

/и т. Д./UFW/перед.правила

. ## Раздел черного списка # блок только 199.115.117.99 -A UFW -BERE -Input -S 199.115.117.99 -J Drop # блок 184.105.*.* -A ufw -before -input -s 184.105.0.0/16 -J Drop # Не удаляйте строку «Commit», иначе эти правила не будут обработаны

Ограничение скорости UFW

UFW имеет возможность отрицать соединения по IP -адресу, который попытался инициировать 6 или более соединений за последние 30 секунд. Пользователи должны рассмотреть возможность использования этой опции для таких услуг, как SSH.

Используя вышеуказанную базовую конфигурацию, чтобы включить ограничение скорости, мы просто заменили бы параметр разрешения на ограниченный параметр. Новое правило затем заменит предыдущий.

# UFW Limit SSH

Правило обновлено

# статус UFW

Статус: Активность к действию от------- ---- где угодно.168.0.0/24 SSH Limit Anywhere Cluge-My разрешайте где угодно

Пользовательские правила

Все правила пользователя хранятся в и т. Д./UFW/Пользователь.Правила и т. Д./UFW/USER6.Правила для IPv4 и IPv6 соответственно.

Секреты и уловки

Отключить удаленное пинг

Изменение принимайте, чтобы сбросить следующие строки:

/и т. Д./UFW/перед.правила

# OK коды ICMP . -UFW-BERE-Input -p ICMP-ICMP

Если вы используете IPv6, соответствующие правила находятся в/etc/ufw/до 6.правила .

Отключить ведение журнала UFW

Отключение ведения журнала может быть полезно, чтобы остановить заполнение UFW ядра (DMESG) и журналов сообщений:

# UFW отключится

UFW и Docker

Docker находится в стандартном режиме, записывающем свои собственные iptables-rules и игнорируя UFW. Особенно режим по умолчанию в UFW не рассматривается Docker и не работает. Чтобы исправить это поведение, консультироваться с https: // github.com/chaifeng/ufw-docker.

Кончик: Вы можете установить UFW-Docker Аур Чтобы автоматически исправить Iptables-Rules, запустив UFW-Docker Install . Пакет также может управлять вашими правилами UFW, связанными с Docker, см. UFW-Docker Help .

GUI Frontends

GUFW

GUFW-это фронт-конечный GTK для UFW, целью которого является сделать управление брандмауэром Linux максимально доступным и простым, насколько это возможно. Он включает в себя предварительные сетки для общих портов и приложений P2P. Требуется поддержка Python, UFW и GTK.

Смотрите также

  • Ubuntu UFW документация
  • UFW (8)

Использует ли UFW nftables

Reddit и его партнеры используют файлы cookie и аналогичные технологии, чтобы обеспечить вам лучший опыт.

Принимая все файлы cookie, вы соглашаетесь с использованием нашего файла cookie для предоставления и обслуживания наших услуг и сайтов, улучшения качества Reddit, персонализировать контент и рекламу Reddit и измерить эффективность рекламы.

Отказываясь от несущественных файлов cookie, Reddit может по-прежнему использовать определенные файлы cookie для обеспечения надлежащей функциональности нашей платформы.

Для получения дополнительной информации, пожалуйста, посмотрите наше уведомление о файле cookie и нашу политику конфиденциальности .

Ubuntu 21.10 переключено на NFTABLES, так почему IPTables все еще доступно?

Однако, установив Ubuntu 21.10, я вижу, что по умолчанию у меня все еще установлены iptables (и UFW):

m@m-virtualbox: ~ $, где iptables iptables:/usr/sbin/iptables/usr/share/iptables/usr/share/man/man8/iptables.8.gz m@m-virtualbox: ~ $ where ufw ufw:/usr/sbin/ufw/usr/lib/ufw/etc/ufw/usr/share/ufw/usr/share/man/man8/ufw.8.гз

Почему это происходит? Насколько мне известно, UFW – это обертка вокруг iptables, а не nftables. Могу ли я безопасно использовать эти команды? Или я должен позаботиться о том, чтобы никогда не печатать iptables или ufw в терминале?

спросил 22 октября 2021 года в 12:45

275 1 1 Золотой значок 3 3 Серебряные значки 11 11 Бронзовые значки

2 ответа 2

После вашей команды, где iptables вы должны следовать файлам. Пример из 20.04 Сервер:

doug@s19: ~ $, где iptables iptables:/usr/sbin/iptables/usr/share/iptables/usr/share/man/man8/iptables.8.GZ Doug@S19: ~ $ ls -l/usr/sbin/iptables lrwxrwxrwx 1 root root 26 января 23 2020/usr/sbin/iptables ->/etc/alternatives/iptables doug@s19: ~ $ ls -l/etc/alternative/iptables/iptables 1 root 22 root 2221 2021 2021 -root -root 221 -root -root 221 2021 2021 2021. r/sbin/iptables-nft doug@s19: ~ $ ls -l/usr/sbin/iptables-nft lrwxrwxrwx 1 root 17 февраля 28 2020/usr/sbin/iptables-nft-> xtables-nft-multi doug@s19: ~ $ ls -l/usr/sbin/xtables-nft-multi@s19: ~ $ ls-ryl/sbin/xtables-nfta-multi@$ 488 февраля 282020/USR/SBIN/XTABLES-NFT-MULTI

Итак, iptables на самом деле использует nftables.

nftables может интерпретировать синтаксис iptables.

ответил 22 октября 2021 года в 14:45

Даг Смифис Дуг Смифис

14.7k 4 4 Золотые значки 39 39 Серебряные значки 57 57 Бронзовые значки

readlink -f -ваш друг здесь: readlink -f $ (который iptables) ->/usr/sbin/xtables -nft -multi

9 июня 2022 года в 6:39

nftables может интерпретировать синтаксис iptables. не является Действительно правда и, по -видимому, не следует использовать вместе. Глянь сюда.

23 августа 2022 года в 10:07

У меня нет всех ответов на ваши вопросы, но у меня есть некоторые из них.

UFW – это слой абстракции брандмауэра, который может использовать любой iptables или nftables в качестве брандмауэра на основе. Это просто удобный помощник Ubuntu, так же, как брандмаллд + брандмауэр-CMD для вариантов Red Hat.

Установка свежего сервера Ubuntu 21.10 сервер показывает, что вы видите – что на самом деле задняя часть все еще использует iptables на стандартной установке сервера.

Manpage Xtables-Nft-Multi (или просто Xtables-Multi) показывает объяснение:

Xtables-NFT-это версии iptables, которые используют API NFTABLES. Это набор инструментов, которые помогут системному администратору перенести набор правил с iptables (8), ip6tables (8), arptables (8) и ebtables (8) до nftables (8).

Насколько я могу судить, вы правы, что, хотя Ubuntu, кажется, движется к NFTABLES в качестве замены для iptables, их еще нет.

Приятно, что если вы все это время использовали UFW, то ничто не изменится с точки зрения управления, поскольку как IPTables, так и NFTABLE, кажутся взаимозаменяемыми, поскольку NFT примет синтаксис iptables, даже если у вас есть фанки в/etc/ufw/раньше.Правила, например.