我需要在个人计算机上安装特殊的防火墙吗

首先是简单的部分：Debian 或 Ubuntu 或我所知道的大多数 Linux 发行版上默认没有设置防火墙。

你需要Linux 上有防火墙吗？可能不是，因为 Linux 系统上侦听传入连接的大多数程序都必须由某人显式启动，并且是从发行版运行的软件包存储库安装的。如果您位于受信任的 WLAN 上，则您的计算机可能有一个私有 IP 地址，并且正在使用具有公共 IP 地址的 NAT 连接到路由器，并且该路由器还充当防火墙。

Linux 上可能需要防火墙的原因：

• 有许多程序可以启动 Web 服务器（或其他类型的服务器），因此您可以从任何计算机与该程序进行交互。如果您不需要远程连接此类程序，则可以使用防火墙来阻止所有非来自计算机本身的连接。
• 您不希望您的计算机响应ping.然后您将使用防火墙丢弃所有 ICMP 数据包。您还可以让防火墙丢弃所有请求连接到已关闭端口的数据包，而计算机根本不响应。例如，如果您在阴暗的咖啡店中使用 WLAN，这将使您对（几乎所有）端口扫描不可见。
• 您使用公共 IP 地址直接连接到互联网，然后加入一堆 IRC 聊天室，大胆的占用者会攻击您。
• 你正在被一个民族国家追捕。

您通常不需要防火墙。

防火墙（更准确地说是数据包过滤器）用于过滤网络数据包，即允许某些连接并禁止其他连接。

连接方式可以是传入或者外向的。

一个传入连接，即其他人想要连接到您的计算机，只有当您的计算机提供某些服务时才有可能。 - 对于私人计算机，您不提供任何服务，并且其他人无法连​​接到您。一切都没有任何防火墙。

为了外向的连接，即您正在尝试连接到其他计算机，您需要一些软件来执行此操作。例如，您使用 Web 浏览器访问某些远程 Web 服务器。 - 对于所有 Linux 发行版，您通常只安装您选择的发行版存储库中的软件。 - 由于该软件通常是开源的，因此您可以非常确定，该软件仅执行其声称的功能。 - 防火墙通常没有帮助。

防火墙有意义的唯一情况是，如果您想向网络的某些特定部分提供某些服务。在这种情况下，您必须允许连接，但过滤掉那些您不需要的连接。 - 但即使在这种情况下，也可能有更简单的解决方案，例如 tcpwrapper 或服务的某些配置。

sudo netstat -tupln您可以使用诸如列出所有活动服务之类的命令。这些可能被绑定到，127.0.0.1这意味着它们只能从同一主机访问，或者被绑定到，0.0.0.0这意味着它们可以从任何地方访问。

在不需要时公开开放端口确实不是一个好主意。它会增加您暴露于相关软件中安全漏洞的风险。

您没有提到单独的访客 WLAN，因此我必须假设您将来将允许其他设备（例如访客的笔记本电脑或您自己的手机）连接到同一 WLAN。反过来，您应该假设您的访客笔记本电脑不值得信赖。

这两个操作系统都没有设置任何防火墙。

Ubuntu 的目标是满足一个叫做“没有开放端口”默认情况下。在最近的版本中，他们没有这样做。 （Ubuntu 上 Rhythmbox 的错误）。

Debian Wheezy 的标准安装会监听 UDP 端口 111，因为它运行rpcbind. （如上所述这里）

我支持使用ss或检查您当前开放的端口netstat。我使用说明这里。上面的两个例子是我希望找到的主要例子。

rpcbind如果您不使用它， 请务必将其删除。rpcbind仅 NFS2 和 NFS3 需要。 （NFS4 不需要）。如果您有一台个人 PC 并且您不知道什么是 NFS，那么您就没有使用 NFS。

如果您不使用 Rhythmbox 中的 DAAP 插件，您也可以禁用它。 （这是通过本地网络访问音乐的一种方法。因此您可以禁用它并查看是否丢失任何音乐:-)。

运行防火墙的缺点是，当它阻止您的某些内容时，需要进行故障排除做需要。例如，如果您想使用 BitTorrent，则需要配置防火墙以允许它，否则您将无法上传（针锋相对的算法意味着这会减慢您的下载速度）。

我建议采用两层方法。首先学习如何检查ss或netstat。确保禁用/删除任何不需要的在网络上侦听的程序。其次，配置防火墙。

当某些东西无法正常工作并且您需要对其进行故障排除时，您将能够 1) 重新检查哪些程序正在网络上侦听，以及 2) 完全禁用防火墙。

如果问题消失，您就会知道这是防火墙问题。您可以开始研究需要允许哪些端口（或者是否存在一些更棘手的问题:-)。希望最终配置并重新启用防火墙，以便您能够覆盖下一个是时候 Ubuntu 忘记他们的旗舰安全策略并开放一个你不需要的新端口了:-)

该ufw防火墙适用于 Debian 和 Ubuntu。 Ubuntu 创建它是为了提供“简单的防火墙”。