ufw の利点は何ですか、本当に必要ですか?

tag-icon tag-icon linux networking iptables ufw
ufw の利点は何ですか、本当に必要ですか?

私は iptables に十分精通しており、iptables -L -v読みやすいと思います。バックアップも簡単で、満足しています。

しかし、Ubuntu の最近のバージョンには、iptables をかなり汚染する ufw があります。ルールの明確なリストの代わりに、読みにくいルールがたくさんあります。

$ iptables -L -v
Chain INPUT (policy DROP 6114 packets, 331K bytes)
 pkts bytes target     prot opt in     out     source               destination
 131K   76M ufw-before-logging-input  all  --  any    any     anywhere             anywhere
 131K   76M ufw-before-input  all  --  any    any     anywhere             anywhere
 6618  368K ufw-after-input  all  --  any    any     anywhere             anywhere
 6191  346K ufw-after-logging-input  all  --  any    any     anywhere             anywhere
 6191  346K ufw-reject-input  all  --  any    any     anywhere             anywhere
 6191  346K ufw-track-input  all  --  any    any     anywhere             anywhere

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
 390K  324M ufw-before-logging-forward  all  --  any    any     anywhere             anywhere
 390K  324M ufw-before-forward  all  --  any    any     anywhere             anywhere
    4  2160 ufw-after-forward  all  --  any    any     anywhere             anywhere
    4  2160 ufw-after-logging-forward  all  --  any    any     anywhere             anywhere
    4  2160 ufw-reject-forward  all  --  any    any     anywhere             anywhere
    4  2160 ufw-track-forward  all  --  any    any     anywhere             anywhere

Chain OUTPUT (policy ACCEPT 1 packets, 52 bytes)
 pkts bytes target     prot opt in     out     source               destination
 326K  317M ufw-before-logging-output  all  --  any    any     anywhere             anywhere
 326K  317M ufw-before-output  all  --  any    any     anywhere             anywhere
  164 14960 ufw-after-output  all  --  any    any     anywhere             anywhere
  164 14960 ufw-after-logging-output  all  --  any    any     anywhere             anywhere
  164 14960 ufw-reject-output  all  --  any    any     anywhere             anywhere
  164 14960 ufw-track-output  all  --  any    any     anywhere             anywhere
...

この観点からすると、ufw の目的がよくわかりません。実質的な利点がないのに、iptables よりも複雑さが増すだけのように思えます。

私が間違っている?

答え1

を知っていてiptables、読みやすいと感じiptables -L -v、それを好むのであれば、 は必要ありませんufw

iptablesLinux カーネルのパケット フィルタ ルールのテーブルを操作します。作成できるテーブル、チェーン、ルールは、強力で柔軟性に富んだツールですが、威圧的で直感的ではないことがよくあります。高度な操作は可能ですが、基本的な操作は初心者ユーザー (または一般ユーザー) が望むほど簡単ではありません。

ここで、ufw(または別の同様のツール)が の上に追加のレイヤーとして登場しますiptables。 基本的なことは簡単にできますが、必ずしも高度なことはできるわけではありませんgufw。 GUI を好む人は を使用できます。 Ubuntu が出荷されるのは、ufw内部でどのように動作するかに興味がないユーザーを対象としているためです。ユーザーは、Windows や自宅のルーターの HTTP インターフェイスで見たものと同様のシンプルなインターフェイスを求めています。 上級ユーザーは を無効にしufwて「手動で」使用できますiptables

の目的はufwシンプルなフロントエンドを持つことです。平均的な人にとって、このフロントエンドはよりシンプルで作成できる同等の「ルールのクリーンなリスト」よりも優れていますiptables。 が実際に作成する「読みにくいルールが多数」は、ufwバックエンドになります。 おっしゃるとおり、ufw複雑さが増しますが、ジョーはそれを認識しません。

使用することを決めたらufw(または、デフォルトで存在する場合は使用し続ける)、バックエンドを気にする必要はありません。バックエンドは、フロントエンドを提供するツールの内部部分として扱ってください。

iptablesをフロントエンドにしたい場合は、 を使用しないでくださいufw。 は、ufwそれ自体を「より前面に」配置します。

関連情報