IPtables по умолчанию в Ubuntu

[papakota]

Здравствуйте,
У меня пару вопросов про брандмауэры в Ubuntu 14.04 Deskop edition.
Как я понял, разобраться с настройками IPtables новичку в Линуксе совсем не просто! Неясно, как обстоит дело с встроенным файрволом в Убунте после её установки по умолчанию? Насколько это всё адекватно и нужно ли вообще тут что-то особо трогать? Это раз...
Второе - по поводу GUI front-end'ов под firewall в Линуксе. Я обратил внимание на пару:
1) GUFW;
2) IPfire.
Ваше мнение. В смысле, насколько они адекватны и реально работают, достаточно ли пользоваться ими не углубляясь в команды самого IPtables.
Что касаемо целей работы - это покамест установить домашний LAMP веб-сервер.

[fisher74]

Из коробки netfilter девственно чист.
Разобраться с работой iptables нужно всего-лишь ОДИН раз. Если повезёт то карма раскроется с первого же прочтения правильного описания. Меня когда-то пробило на этой статейке, потому не перестаю её рекомендовать.
Сразу скажу, что linux тут почти совсем не при чём - главное иметь базовые знания работы сети.
Все GUI-свистелки, ИМХО, для нежелающих разобраться в работе netfilter, но в итоге всё равно приходится этим заниматься (не замечая этого), но уже "через матумбу".

Использование файрволла дело исключительно добровольное. Он защищает сервисы, предоставляемые данной системой. Как именно и от чего защищать тот или иной сервис - тоже нужно знать. А не зная достоинства и недостатки оружия (netfilter) - тяжеловато будет защищаться.
Фактически кнопки "Сделать всё хорошо" - не существует.

Так что сами выбирайте.

[papakota]

Спасибо за ответ, прежде всего!
Что касаемо IPtables, то для новичка, я думаю, это нереально. Нет, т.е. в теории можно выучить и китайский для того, чтобы приехать на неделю посмотреть Пекин, но вопрос в том, стоит ли овчинка выделки. Я с Вами согласен на 100% по поводу понимания общих сетевых приницов, но не согласен в деталях. Ethernet, он и в Windows Server 2012 такой же, но Вы же не станете утверждать, что понимаю общие сетевые приниципы и зная Windows, сразу всё поймешь с Линуксом и IPtables.
Мне, допустим, советовали просто ввести элементарные настройки в UFW/GUFW и это для моих целей (домашний веб-сервер) вполне хватит. Кроме того, есть еще и отдельный программный продукт - IPFire (я так понимаю, что это как бы навороченный файрволл для тех у кого особые потребности, хотя мне и не совсем ясно какие...).
Для обычного десктопного юзанья Убунты, я так понимаю, что можно вообще ничего не делать. А вот если ставить веб-сервер, пусть даже самый простенький...

[fisher74]

понимаю общие сетевые приниципы и зная Windows, сразу всё поймешь с Линуксом и IPtables.

Вы не различите source address от destination address? Или source port от destination port?
Или не сообразите, что будет в этих полях когда клиент обращается к Вашему вэб-серверу, а что - когда сервер ему ответит? Или проблема в определении действия ACCEPT или DROP?
Я в трёх строках уже написал, то чего новички, в том числе и ВЫ, боятся как чёрт ладана. БОльшая часть защиты строится на этих 3-х слонах. Есть, конечно, и мудрёные фильтры и действия, но они уже по накатанной идут в плане понимания механизма.

А ну, ещё надо понять какие цепочки пакет проходит в разных случаях и назначение таблиц, но это на картинке легко понимается, если понимаете то что выше описал.

[papakota]

Ладно, спасибо за ответ!

[peach]

Ладно, спасибо за ответ!

не бойся, изучить iptables можно быстро, главное понять что требуется.
1. подними свой веб-сервер на Ubuntu
2. подключить к нему по ssh и http, все работает, соединения есть
3. настрой iptables разрешающий только ssh, посмотри что происходит с http
4. настрой действие DROP по-умолчанию для INPUT, посмотри что будет с http
5. в итоге все соединения для которых нет явного разрешения ACCEPT, должны DROP

перестань боятся, не откладывай на завтра

[papakota]

Спасибо за ответ! Но я покамест решил ограничиться для начала Gufw. Как я понимаю, там всё есть чтобы иметь минимально приемлемую степень защиты. А пытаться понять высшую математику не зная до конца таблицу умножения было бы несерьёзно с моей стороны. Сорри...

[Valan]

Для создания правил iptables достаточно базовых знаний по работе TCP/IP стека и маршрутизации. Ничего сложного там нет, наоборот все логично и правильно.