debian11 默认不安装防火墙？

目前是正在安装个 fail2ban 完事发现日志里提示没有找到 iptables 才发现没有安装这个
而且新版 debian 默认防火墙是 ufw 了？可是也没安装
那问题是是不是优先考虑安装 iptables 而不是安装 ufw ？因为 fail2ban 里默认就是使用 iptables 。

sayakafs

2022-10-19 09:04:06 +08:00

debian 现在默认 nftables

azev

2022-10-19 09:04:53 +08:00

append：考虑了下是不是 ufw 更好？按我理解安装了 ufw 其实也就安装了 iptables 吧？而且平时 ufw 更易使用

villivateur

2022-10-19 09:12:07 +08:00

@azev ufw 底层就是用 iptables 实现的

Chyo

2022-10-19 09:14:32 +08:00

如果用惯了 ufw 那直接装 ufw 就行，fail2ban 也可以切换到使用 ufw

GTim

2022-10-19 09:33:07 +08:00

ufw ，人性化的命令，就这一条

azev

2022-10-19 10:04:12 +08:00

@sayakafs @Chyo @GTim 多谢想到一个问题如果 ufw 服务停止 iptables 规则还有效吗？ ufw 为什么是作为一个服务呢

Showfom

2022-10-19 11:01:08 +08:00

@azev #6 你可以理解成 ufw 只是个 iptables 的前端，给你简化了命令

你停止了 ufw 服务，自然 iptables 规则也没了

Debian 现在默认的防火墙软件是 nftables 比 iptables 的规则更人性化

当然你要用 fail2ban 的话，还是装个 iptables 比较方便，apt 直接装就行

如果只是用 fail2ban 屏蔽 SSH 扫描的话，也不需要装 iptables

westoy

2022-10-19 12:07:49 +08:00

传统 iptables 是 netfilter 的调用, nft 是 nftables 的调, 还有一个实际 nft 实现用的 iptables 语法的 iptables-nft

你说的那个 iptables 不是 iptables ，是基于 iptables 的服务，在 debian 里叫 iptables-persistent ，不是默认安装的，netfilter 时代，debian 官方更推荐直接把 iptables 导入的脚本放在 /etc/network/if-up.d 下面

nft 时代是可以通过 nft 的 systemd 服务默认导入 /etc/nftables.conf ，这个不用装

ufw 是基于 iptables 服务的二次封装

liuliancao

2022-11-06 15:19:52 +08:00

shorewall 不错

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/887995

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.