28.11.2015, 14:47
(Dieser Beitrag wurde zuletzt bearbeitet: 28.11.2015, 14:59 von Mareta Dagostino.)
Ich hatte mich bewusst entschieden, direkt iptables zu verwenden, weil dann nur Sachen passieren, die ich verstehe. Dabei nutze ich natürlich nicht alle denkbaren Möglichkeiten, sondern gezielt ein möglichst einfaches Schema, also eine Port-Firewall (Protokoll, Port, Richtung => fertig.)
ufw ist ein Hilfstool, was letztenendes auch "nur" iptables mit Regeln füllt. Das Ergebnis sind Regelketten, die mir zu kompliziert sind. Insbesondere die in Firewall-Tools verbreiteten "Applikationsfilter" sind mir ein Dorn im Auge. Damit gibt man sozusagen einen Dienst wie SSH oder Email frei, und das Tool weiß dann, welche Ports und Protokolle dafür geöffnet werden sollen. Blöd nur, wenn ich es nicht weiß, dann macht mir das Tool "irgendwas" auf. Genau deshalb benutzte ich zum Beispiel unter OpenSUSE die äußerst komfortable dialogbasierte SuseFirewall nicht: Die vom Tool erzeugten Regelwerke in iptables konnte ich selber nicht mehr sicher verstehen.
Unter der Annahme, du arbeitest dich hinreichend in iptables ein, um die durch ufw erzeugten Regeln zu verstehen, sehe ich keine Sicherheitsbedenken. Bequemer ist es eventuell ein paar Kommandos abzusetzen statt eine Textdatei zu editieren. Wobei in meiner Firewall alle benötigten Varianten eh vorkommen, so dass ich bei einem zusätzlichen Port einfach mit copy-paste eine Beispielzeile kopiere und in der Kopie die Portnummer ändere.
EDIT: ufw wurde entwickelt, um Usern, die iptables nicht verstehen,eine Firewall zu ermöglichen. Besser eine nicht verstandene Firewall, als keine Firewall (oder eine wegen Fehlkonfiguration wirkungslose).
ufw ist ein Hilfstool, was letztenendes auch "nur" iptables mit Regeln füllt. Das Ergebnis sind Regelketten, die mir zu kompliziert sind. Insbesondere die in Firewall-Tools verbreiteten "Applikationsfilter" sind mir ein Dorn im Auge. Damit gibt man sozusagen einen Dienst wie SSH oder Email frei, und das Tool weiß dann, welche Ports und Protokolle dafür geöffnet werden sollen. Blöd nur, wenn ich es nicht weiß, dann macht mir das Tool "irgendwas" auf. Genau deshalb benutzte ich zum Beispiel unter OpenSUSE die äußerst komfortable dialogbasierte SuseFirewall nicht: Die vom Tool erzeugten Regelwerke in iptables konnte ich selber nicht mehr sicher verstehen.
Unter der Annahme, du arbeitest dich hinreichend in iptables ein, um die durch ufw erzeugten Regeln zu verstehen, sehe ich keine Sicherheitsbedenken. Bequemer ist es eventuell ein paar Kommandos abzusetzen statt eine Textdatei zu editieren. Wobei in meiner Firewall alle benötigten Varianten eh vorkommen, so dass ich bei einem zusätzlichen Port einfach mit copy-paste eine Beispielzeile kopiere und in der Kopie die Portnummer ändere.
EDIT: ufw wurde entwickelt, um Usern, die iptables nicht verstehen,eine Firewall zu ermöglichen. Besser eine nicht verstandene Firewall, als keine Firewall (oder eine wegen Fehlkonfiguration wirkungslose).