Por que o Debian fornece um firewall pré-configurado?

Uma configuração padrão do Debian não inclui um firewall (veja Por que o Debian vem sem um firewall habilitado por padrão? ). No entanto, instalar o Debian testing com o KDE atualmente configura firewalldpor padrão, o que configura um firewall bloqueando todas as conexões de entrada, exceto DHCPv6 e SSH.

Tecnicamente, firewalldacaba instalado porque o desktop KDE Plasma recomenda o plasma-firewallpacote, que recomenda firewalld. Essas dependências são opcionais e podem ser removidas. firewalldnão é instalado por padrão com o KDE no Debian 12, mas isso ocorre porque o plasma-desktoppacote especifica uma versão inválida para plasma-firewall!

Por que um firewall seria útil por padrão? Conforme descrito no Q&A relacionado vinculado acima, os serviços Debian são fornecidos com configurações conservadoras que só escutam em portas locais por padrão. Mas ter um firewall pode ser útil como uma camada extra de segurança: um serviço mal configurado não acabará abrindo portas amplamente acessíveis. Por outro lado, um serviço configurado corretamente também não poderá receber tráfego externo a menos que o firewall também esteja configurado apropriadamente; então é um equilíbrio entre segurança e conveniência, e os padrões apropriados provavelmente variariam dependendo do uso pretendido do sistema (um laptop ou desktop típico, não expondo serviços, não sofreria com um firewall, e ter um habilita outros tipos de proteção, por exemplo, limitando conexões de saída ; mas um firewall padrão pode ser contraproducente em um servidor).

Uma configuração de firewall padrão pode ser feita para funcionar bem por padrão, mas isso dá trabalho e integração entre serviços (por exemplo, instalar um servidor web pode abrir a porta relevante no firewall). Como o Debian não habilita um firewall por padrão, seus pacotes não esperam ter que configurar um (qual deles, afinal?), então a integração geral é menos do que ideal. Em particular, nada configura firewalldpara deixar o tráfego mDNS entrar.