为什么Debian默认没有启用防火墙？

我正在将Debian 9.1与KDE一起使用，并且想知道为什么它没有安装并默认启用防火墙？gufw甚至不在DVD1的包装中。

人们应该在获得防火墙之前连接到Internet 吗？为什么？即使默认情况下关闭所有端口，各种已安装，更新或下载的程序也可以打开（或不打开）它们，我希望即使没有一点点未经我许可也可以离开我的机器。

编辑：所以我只是发现关于iptables的问题，但我想这个问题仍然与iptables一样，因为防火墙对于大多数人来说还是相当陌生，其默认规则，可访问性和易用性以及默认情况下会重置任何iptable-rules的事实重新启动时。

首先，Debian倾向于假设您知道自己在做什么，并试图避免为您做出选择。

Debian的默认安装很小，而且很安全-它不会启动任何服务。甚至添加到安装中的标准可选附件（例如，Web服务器，ssh）通常也相当保守和安全。

因此，在这种情况下不需要防火墙。Debian（或其开发人员）假设，如果您启动其他服务，您将知道如何保护它们，并在必要时可以添加防火墙。

更重要的是，也许Debian避免为您选择使用哪种防火墙软件。有很多选择-应该使用哪一个？甚至对于基本的防火墙设置，应该选择什么设置？话虽如此，iptables优先级很重要，因此默认情况下会安装它。但是，当然，Debian不知道您如何配置它，因此它不会为您配置它。无论如何iptables，您可能更喜欢使用的后继者nftables。

还要注意，Linux内核已经在一定程度上内置了防火墙功能。例如nftables和netfilter。Debian和其他Linux发行版确实提供了用户空间工具，例如iptables用于管理该功能的工具。但是您对他们的处理取决于您自己。

请注意，这些实体的名称不一致。引用维基百科nftables页面：

nftables是通过用户空间实用程序nft配置的，而netfilter是通过iptables，ip6tables，arptables和ebtables框架配置的。

首先，我要重复一遍：Debian与许多其他主流发行版（尤其是Ubuntu）相比，迎合的用户群体截然不同。Debian专为了解该系统工作原理并且不惧怕不时修改以换取对系统的高度控制的人而设计。例如，Ubuntu迎合了非常不同的目标受众：那些只希望事情能够工作并且不（真正）关心引擎盖下发生的事情的人，当然也不想修改系统配置来制造东西工作。这影响了所得系统的许多方面。从某种程度上说，这就是Linux的美。可以使用相同的基本系统来构建满足不同需求的环境。请记住，Ubuntu是Debian的衍生产品，

gufw甚至不在DVD1的包装中。

第一张磁盘包含最流行的软件，这取决于从已安装系统中选择加入的匿名统计信息确定。gufw不在第一个磁盘上这一事实仅表明，在Debian中，这不是一个非常受欢迎的软件包（就安装的数量而言）。一旦您的基本系统能够联网并且可以运行，如果您更喜欢替代系统，则安装起来也很容易。

人们应该在获得防火墙之前连接到Internet吗？为什么？

好吧，一方面，我相信Debian允许通过网络进行安装。（不仅是在正常安装过程中从网络下载软件包，而且实际上是从与要安装的主机不同的主机开始安装。）默认情况下，使用限制性规则集配置的防火墙可能会有干扰的危险。与仅出于下载正在安装的软件包的最新版本目的而在安装过程中需要传出网络访问权限的安装相同。

另外，还有我上面提到的内容；通常，Debian希望您知道自己在做什么。如果您想要防火墙，则应该能够自己进行配置，并且希望您比Debian维护者更了解您的特殊需求。在这方面，Debian有点像OpenBSD，但并不是那么极端。（当在使基本系统更加安全和更加实用之间做出选择时，OpenBSD维护人员实际上总是追求安全性。这在其基本系统安全性漏洞统计数据中得以显示，但对可用性却具有重大影响。）

当然，专门性：防火墙支持被包含在基本系统。只是默认情况下，内核将其设置为允许的规则集，而基本的Debian安装并没有做任何改变。您可以运行几个命令来限制流量。

即使默认情况下关闭所有端口，各种已安装，更新或下载的程序也可以打开（或不打开）它们，我希望即使没有一点点未经我许可也可以离开我的计算机。

首先，防火墙通常用于限制传入流量。如果您想限制传出交通，那是一截完全不同的鱼缸；当然可行，但需要根据您的具体情况进行更多调整。默认块传出流量防火墙，使常用端口保持打开状态（常用端口可能是ftp / 20 + 21，ssh / 22，smtp / 25，http / 80，https / 443，pop3 / 110，imap / 143和一堆），再加上允许与已建立的会话相关的流量，不会比默认允许的防火墙安全得多。最好确保将基本系统安装的一组软件包限制为一组易于理解的，安全配置为已交付的软件包，并允许管理员设置适当的防火墙规则（如果它们需要更多保护的话）。

第二，封闭端口（一个使用TCP RST / ACK响应TCP ​​SYN的端口），通常报告为“连接被拒绝”-这通常是支持TCP / IP的实时系统上TCP端口的默认状态，没有相反的配置，或者没有监听的软件）不是重大漏洞，即使在未通过单独防火墙连接的系统上也是如此。在全封闭配置中，唯一的重大漏洞是内核的TCP / IP堆栈实现中是否存在漏洞。但是数据包已经通过了内核中的netfilter（iptables）代码，并且那里也可能隐藏着一个错误。在另一端响应导致“连接被拒绝”的逻辑很简单，以至于我很难相信它将是错误的主要来源，更不用说与安全相关的错误了。

第三，程序包通常以root用户身份安装，您（程序包）可以从根本上更改iptables规则，而无论如何您都不知道。因此，这与您需要人工管理员手动允许流量通过主机防火墙的感觉不同。如果要进行这种隔离，则首先应将防火墙与其要保护的主机分开。

所以我只是发现了iptables，但是我猜想这个问题仍然与iptables一样，因为防火墙对于大多数人来说还是相当陌生的，它的默认规则以及可访问性和易用性。

我实际上会说相反的事实。iptables作为防火墙是众所周知的。实际上，您可能会遇到的每个Linux系统上都提供了该功能。（在导致Linux内核版本2.4的开发过程中（大约在2000年左右），它替换了ipchains。如果我没记错的话，对于防火墙的常见用例，两者之间最大的用户可见的变化是内置规则链现在以大写字母（如INPUT）而不是小写字母（如input）命名。

如果有的话，iptables的可以做的事情其他比它的防火墙没有被广泛使用或理解。例如，它可以用于在IP数据包通过防火墙之前重写它们。

如果我要猜测，而实际上没有成为一代Debian开发人员和维护人员的负责人，我的猜测将是：

Debian最初被设计为服务器操作系统，sid和测试分支都以创建下一个稳定分支为主要目的，并且在冻结时将其冻结，并且从测试中获取新的稳定，就像发生在Stretch上。

鉴于此，我将进一步假设，我必须与sysadmin朋友确认这一点，即数据中心防火墙是服务器的外部设备，具有更高的安全性（至少有人希望是这种情况）），并处理主防火墙任务。即使在带有路由器的小型LAN上，情况就是这样，路由器就是防火墙，我在我的任何系统上都不使用任何本地防火墙规则，为什么？

我认为也许人们会将本地安装的桌面Debian或办公室或家庭中的单个文件服务器与连接到Debian的实际工作混淆了，我认为这主要集中在生产用途上。

我对此不太确定，但是在使用Debian十多年之后，我在许多方面既是Debian的开发者又是支持者。

我可以检查一下，因为这实际上是一个很好的问题，但我想可能是真实网络在网络的入口处进行了防火墙保护，而不是基于每台计算机，或者至少这是可能驱动的基本思想Debian。另外，当然，如果不是这种情况，系统管理员将使用Chef之类的东西在每台机器的基础上设置防火墙规则，而不依赖任何默认安装，这不是您所希望的要信任，例如，默认的Debian ssh配置不是我个人使用的默认配置，例如，它们默认情况下允许root登录，并且如果发现不正确的做法，则取决于系统管理员来纠正。

也就是说，我认为Debian可能具有某些其他发行版中不具备的能力。在这种情况下，您将更改要更改的内容，创建图像，使用站点管理软件进行管理等等。这些只是一些可能性。例如，您永远不会使用DVD创建新服务器，至少永远不会在生产环境中使用，您可能会使用类似最小化的netinstall之类的东西，例如，这就是我一直使用的方式（例如，我以前使用的是更小的映像，但他们停止了使用）。如果您看一下该基本安装中包含的内容，您将对Debian认为至关重要的内容和不重要的内容有一个不错的了解。例如，ssh在那里。Xorg不是，Samba不是。

也可能会问为什么他们将GNOME作为默认桌面返回到GNOME，但这只是他们做出的决定，而用户基本上会忽略这些决定，因为您可以按照自己的方式制作系统（也就是说，要获得Xfce桌面，我不会不要安装Xdebian（例如，Xubuntu），我只需安装Debian core，Xorg和Xfce，然后就可以了。以类似的方式，如果我想要防火墙，我将对其进行配置，了解其来龙去脉等，但是我个人并不希望Debian启用该功能，如果确实启用了它，那实际上会让我很烦。也许我对此的看法反映了您可能也在Debian内部找到的共识。

加上当然，实际上并没有Debian这样的东西，有各种安装映像，netinstall，完整安装，这些全都从准系统，cli到合理完整的用户桌面而变化。生产用户可能会创建图像，例如，将以用户想要的方式对其进行配置，我知道如果我要设置Debian服务器，那么我将从原始基础知识开始，并进行构建，直到达到我想要的为止。

然后，您将拥有一个Web服务器的世界，这是一个完全不同的蜡球，它们所面临的安全性问题非常不同，而且，正如我的一位老朋友与地下黑客有很好的联系，他说，有人在不知道如何保护服务器的情况下运行Web服务器它也可以称为服务器由cracker拥有的人。

通常的想法是，除了复杂的设置之外，在大多数系统上都不需要防火墙。

当您安装服务器时，SSH正在运行。没有别的应该在监听，您可能希望能够连接到ssh。

安装网络服务器时，您会希望该网络服务器可用，不是吗？对于基本调整，您可以将Web服务器仅绑定到专用LAN接口，例如192.168.172.42（您的本地LAN IP），而不是0.0.0.0（所有ips）。您仍然不需要防火墙。

当然，一切都可以打开大于1024的端口，但是当您拥有不受信任的软件（或不受信任的用户）时，您应该做的不仅仅是安装防火墙。当您需要不信任某些事物或某人时，您需要一个安全概念，而不仅仅是软件。因此，当您需要积极考虑防火墙解决方案时，这是一件好事。

现在当然有更复杂的场景。但是，当您实际拥有其中之一时，您确实需要自己对防火墙进行微调，并且不要让像ufw这样的半自动系统来做。或者甚至可以使用ufw，但后来您决定了它，而不是操作系统的默认设置。

人们是否应该在连接到Internet之前

是

要防火墙吗？

即使默认情况下所有端口都关闭

抱歉，不是。rpcbind似乎默认情况下已安装，启用并在网络上侦听。

编辑：我相信这已在最新的安装程序中得到修复，即对于Debian 9（Stretch）。但是对于Debian的早期版本，在公共wifi网络上安装（然后更新）它们并不安全。

为什么？

我怀疑人们有一个假设

1. 本地网络不会攻击您的网络服务
2. 您的本地网络和更广泛的Internet之间已经存在防火墙。

尽管后者是常见的做法，例如通过消费类路由器，但我认为这不能保证。毫不奇怪，以前的假设没有记录在案；这也不是明智的选择。

我认为，rpcbind的问题是一个更一般性的例子。人们可以尝试推广Debian，它具有许多很酷的功能。但是Debian在Ubuntu的优美和友好性，甚至可以说对于想要学习这些细节的人的可靠性方面落后于Ubuntu 。

下载的程序可以打开它们（或不能打开它们），我希望在没有我允许的情况下不要离开我的机器。

在开始下载并运行不确定不确定功能的随机软件之前，您当然可以自由安装防火墙：-p。

我部分同意，安装Linux并没有为众所周知的安全层设置任何接口令人担忧。我个人认为了解默认Windows防火墙的设置很有用。它希望您能够“信任”家庭网络，而在最新版本中，快速安装甚至会跳过询问您是否信任当前网络的问题。主要目标似乎是要区分家庭网络，未受保护的连接（例如直接连接的调制解调器）和公共wifi网络。请注意，UFW始终​​不支持此功能。

仅Fedora Linux尝试在中提供类似的功能firewalld。（软件包似乎在Debian中也可用...）。可以说，它的GUI不像GUFW那样“友好”。

Unix的传统哲学一直是KISS，并且运行/公开最少的服务。

还必须显式安装一些服务，甚至有些服务已绑定到localhost，并且必须启用它们以使其在本地网络/ Internet中可见（MySQL，MongoDB，snmpd，ntpd，xorg ...）。与默认情况下启用防火墙相比，这是一种更明智的方法。

您只需要防火墙从特定角度带来的复杂性，而在公司路由器或家庭网关设备后面的需求可能会减少，因此，明智的做法是让用户自行决定。防火墙与许多其他安全软件一样，如果管理不当，也会给人以错误的感觉。

Debian的定位向来是技术性更强的人，他们知道iptables是什么。还有几个众所周知的包装器，文本或图形模式界面，可以轻松安装。

最重要的是，它附带的软件太多还是太少都引起了人们的意见。对于资深用户而言，默认情况下会附带安装过多的软件和服务，尤其是在服务器模式下。