GNU/Linux >> Tutoriels Linux >  >> Linux

Comment configurer un pare-feu avec GUFW sous Linux

UFW (pare-feu simple) est un utilitaire de pare-feu simple à utiliser avec de nombreuses options pour la plupart des utilisateurs. C'est une interface pour iptables , qui est le moyen classique (et le plus difficile à maîtriser) de définir des règles pour votre réseau.

Avez-vous vraiment besoin d'un pare-feu pour ordinateur ?

Un pare-feu est un moyen de réguler le trafic entrant et sortant sur votre réseau. Un pare-feu bien configuré est crucial pour la sécurité des serveurs.

Mais qu'en est-il des utilisateurs normaux de bureau ? Avez-vous besoin d'un pare-feu sur votre système Linux ? Vous êtes probablement connecté à Internet via un routeur lié à votre fournisseur de services Internet (FAI). Certains routeurs ont déjà un pare-feu intégré. En plus de cela, votre système actuel est caché derrière NAT. En d'autres termes, vous disposez probablement d'une couche de sécurité lorsque vous êtes sur votre réseau domestique.

Maintenant que vous savez que vous devriez utiliser un pare-feu sur votre système, voyons comment vous pouvez facilement installer et configurer un pare-feu sur Ubuntu ou toute autre distribution Linux.

Configurer un pare-feu avec GUFW

GUFW est un utilitaire graphique pour gérer le pare-feu non compliqué (UFW ). Dans ce guide, je vais passer en revue la configuration d'un pare-feu à l'aide de GUFW qui correspond à vos besoins, en passant en revue les différents modes et règles.

Mais d'abord, voyons comment installer GUFW.

Installer GUFW sur Ubuntu et d'autres Linux

GUFW est disponible dans toutes les principales distributions Linux. Je vous conseille d'utiliser le gestionnaire de paquets de votre distribution pour installer GUFW.

Si vous utilisez Ubuntu, assurez-vous que le référentiel d'univers est activé. Pour ce faire, ouvrez un terminal (raccourci par défaut : CTRL+ALT+T) et saisissez :

sudo add-apt-repository universe 
sudo apt update -y

Vous pouvez maintenant installer GUFW avec cette commande :

sudo apt install gufw -y

C'est ça! Si vous préférez ne pas toucher au terminal, vous pouvez également l'installer à partir du centre de logiciels.

Ouvrez le centre logiciel et recherchez gufw et cliquez sur le résultat de la recherche.

Allez-y et cliquez sur Installer .

Pour ouvrir gufw , accédez à votre menu et recherchez-le.

Cela ouvrira l'application de pare-feu et vous serez accueilli par un "Getting Started ” section.

Activez le pare-feu

La première chose à remarquer à propos de ce menu est le Statut basculer. Appuyez sur ce bouton pour activer/désactiver le pare-feu (par défaut : off), en appliquant vos préférences (politiques et règles).

Si elle est activée, l'icône du bouclier passe du gris à la couleur. Les couleurs, comme indiqué plus loin dans cet article, reflètent vos politiques. Cela permettra également au pare-feu de démarrer automatiquement au démarrage du système.

Remarque : Accueil sera désactivé par défaut. Les autres profils (voir la section suivante) seront activés.

Comprendre GUFW et ses profils

Comme vous pouvez le voir dans le menu, vous pouvez sélectionner différents profils . Chaque profil est associé à des politiques par défaut différentes . Cela signifie qu'ils offrent des comportements différents pour le trafic entrant et sortant.

Les profils par défaut sont :

  • Accueil
  • Public
  • Bureau

Vous pouvez sélectionner un autre profil en cliquant sur celui en cours (par défaut :Accueil ).

La sélection de l'un d'entre eux modifiera le comportement par défaut. Plus bas, vous pouvez modifier les préférences de trafic entrant et sortant.

Par défaut, à la fois dans Accueil et dans Office , ces politiques sont Deny Incoming et Autoriser les messages sortants . Cela vous permet d'utiliser des services tels que http/https sans rien laisser entrer (par exemple chut).

Pour Public , ils sont Rejeter les messages entrants et Autoriser les messages sortants . Refuser , similaire à refuser , n'autorise pas les services, mais envoie également des commentaires à l'utilisateur/au service qui a tenté d'accéder à votre ordinateur (au lieu de simplement interrompre/raccrocher la connexion).

Remarque

Si vous êtes un utilisateur de bureau moyen, vous pouvez vous en tenir aux profils par défaut. Vous devrez modifier manuellement les profils si vous changez de réseau.

Donc, si vous voyagez, définissez le pare-feu sur le profil public et à partir de maintenant, le pare-feu sera défini en mode public à chaque redémarrage.

Configuration des règles et politiques de pare-feu [pour les utilisateurs avancés]

Tous les profils utilisent les mêmes règles, seules les politiques sur lesquelles les règles s'appuient seront différentes. Modification du comportement d'une politique (Entrant/Sortant ) appliquera les modifications au profil sélectionné.

Notez que les stratégies ne peuvent être modifiées que lorsque le pare-feu est actif (état :activé).

Les profils peuvent facilement être ajoutés, supprimés et renommés à partir des Préférences menu.

Préférences

Dans la barre du haut, cliquez sur Modifier . Sélectionnez Préférences .

Cela ouvrira les Préférences menu.

Passons en revue les options dont vous disposez ici !

Journalisation signifie exactement ce que vous pensez :combien d'informations le pare-feu écrit-il dans les fichiers journaux.

Les options sous Gufw sont assez explicites.

Dans la section sous Profils est l'endroit où nous pouvons ajouter, supprimer et renommer des profils. Double-cliquer sur un profil vous permettra de renommer ce. Appuyez sur Entrée terminera ce processus et en appuyant sur Échap annulera le changement de nom.

Pour ajouter un nouveau profil, cliquez sur le + sous la liste des profils. Cela ajoutera un nouveau profil. Cependant, il ne vous en informera pas. Vous devrez également faire défiler la liste pour voir le profil que vous avez créé (en utilisant la molette de la souris ou la barre de défilement sur le côté droit de la liste).

Remarque : Le profil nouvellement ajouté va Refuser les appels entrants et Autoriser les messages sortants trafic.

Cliquer sur un profil met en surbrillance ce profil. Appuyez sur le bouton va supprimer le profil en surbrillance.

Remarque : Vous ne pouvez pas renommer/supprimer le profil actuellement sélectionné .

Vous pouvez maintenant cliquer sur Fermer . Ensuite, j'aborderai la configuration de différentes règles .

Règles

De retour au menu principal, quelque part au milieu de l'écran, vous pouvez sélectionner différents onglets (Accueil, Règles, Rapport, Journaux) . Nous avons déjà couvert la Accueil (c'est le guide rapide que vous voyez lorsque vous démarrez l'application).

Allez-y et sélectionnez Règles .

Ce sera l'essentiel de la configuration de votre pare-feu :les règles de mise en réseau. Vous devez comprendre les concepts sur lesquels UFW est basé. C'est-à-dire autoriser, nier, rejeter et limiter trafic.

Remarque : Dans UFW, les règles s'appliquent de haut en bas (les règles du haut prennent effet en premier et les suivantes s'y ajoutent).

Autoriser, Refuser, Refuser, Limiter : Voici les politiques disponibles pour les règles que vous ajouterez à votre pare-feu.

Voyons exactement ce que chacun d'eux signifie :

  • Autoriser : autorise tout trafic d'entrée vers un port
  • Refuser : refuse tout trafic d'entrée vers un port
  • Rejeter : refuse tout trafic d'entrée vers un port et informe le demandeur du rejet
  • Limite : refuse le trafic d'entrée si une adresse IP a tenté d'établir 6 connexions ou plus au cours des 30 dernières secondes

Ajouter des règles

Il existe trois façons d'ajouter des règles dans GUFW. Je vais présenter les trois méthodes dans la section suivante.

Remarque : Après avoir ajouté les règles, modifier leur ordre est un processus très délicat et il est plus facile de simplement les supprimer et de les ajouter dans le bon ordre.

Mais d'abord, cliquez sur le + au bas des Règles onglet.

Cela devrait ouvrir un menu contextuel (Ajouter une règle de pare-feu ).

En haut de ce menu, vous pouvez voir les trois façons d'ajouter des règles. Je vais vous guider à travers chaque méthode, c'est-à-dire Préconfiguré, Simple, Avancé . Cliquez pour développer chaque section.

Règles préconfigurées

Il s'agit de la manière la plus conviviale pour les débutants d'ajouter des règles.

La première étape consiste à choisir une stratégie pour la règle (parmi celles décrites ci-dessus).

L'étape suivante consiste à choisir la direction que la règle affectera (Entrant, Sortant, Les deux ).

La Catégorie et Sous-catégorie les choix sont nombreux. Celles-ci réduisent les Applications vous pouvez sélectionner

Choisir une application configurera un ensemble de ports en fonction de ce qui est nécessaire pour cette application particulière. Ceci est particulièrement utile pour les applications susceptibles de fonctionner sur plusieurs ports ou si vous ne souhaitez pas vous soucier de la création manuelle de règles pour les numéros de port manuscrits.

Si vous souhaitez personnaliser davantage la règle, vous pouvez cliquer sur l'icône de flèche orange . Cela copiera les paramètres actuels (Application avec ses ports, etc.) et vous amènera à la section Avancé menu des règles. Je couvrirai cela plus tard dans cet article.

Pour cet exemple, j'ai choisi une base de données Office application :MySQL . Je vais refuser tout le trafic entrant vers les ports utilisés par cette application.
Pour créer la règle, cliquez sur Ajouter .

Vous pouvez maintenant Fermer la fenêtre contextuelle (si vous ne souhaitez pas ajouter d'autres règles). Vous pouvez voir que la règle a été ajoutée avec succès.

Les ports ont été ajoutés par GUFW et les règles ont été numérotées automatiquement. Vous vous demandez peut-être pourquoi y a-t-il deux nouvelles règles au lieu d'une seule ; la réponse est que UFW ajoute automatiquement à la fois une IP standard règle et un IPv6 règle.

Règles simples

Bien que la configuration de règles préconfigurées soit agréable, il existe un autre moyen simple d'ajouter une règle. Cliquez sur le + à nouveau et accédez à l'icône Simple onglet.

Les options ici sont simples. Entrez un nom pour votre règle et sélectionnez la stratégie et la direction. Je vais ajouter une règle pour rejeter les tentatives SSH entrantes.

Les protocoles vous pouvez choisir sont TCP, UDP ou Les deux .

Vous devez maintenant entrer le Port dont vous souhaitez gérer le trafic. Vous pouvez entrer un numéro de port (par exemple 22 pour ssh), une plage de ports avec des extrémités inclusives séparées par un  : (deux-points ) (par exemple, 81:89) ou un nom de service (par exemple ssh). Je vais utiliser ssh et sélectionnez à la fois TCP et UDP pour cet exemple. Comme précédemment, cliquez sur Ajouter pour terminer la création de votre règle. Vous pouvez cliquer sur l'icône de flèche rouge pour copier les paramètres dans Avancé menu de création de règles.

Si vous sélectionnez Fermer , vous pouvez voir que la nouvelle règle (ainsi que la règle IPv6 correspondante) a été ajoutée.

Règles avancées

Je vais maintenant expliquer comment configurer des règles plus avancées, gérer le trafic provenant d'adresses IP et de sous-réseaux spécifiques et cibler différentes interfaces.

Ouvrons les règles menu à nouveau. Sélectionnez Avancé onglet.

À présent, vous devriez déjà être familiarisé avec les options de base :Nom, Politique, Direction, Protocole, Port . Ce sont les mêmes qu'avant.

Remarque : Vous pouvez choisir à la fois un port de réception et un port demandeur.

Ce qui change, c'est que vous disposez désormais d'options supplémentaires pour spécialiser davantage nos règles.

J'ai mentionné précédemment que les règles sont automatiquement numérotées par GUFW. Avec Avancé règles vous spécifiez la position de votre règle en saisissant un nombre dans le champ Insérer option.

Remarque : Saisir la position 0 ajoutera votre règle après toutes les règles existantes.

Interface vous permet de sélectionner n'importe quelle interface réseau disponible sur votre machine. Ce faisant, la règle n'aura d'effet que sur le trafic vers et depuis cette interface spécifique.

Journal change exactement cela :ce qui sera et ce qui ne sera pas enregistré.

Vous pouvez également choisir des adresses IP pour le port/service demandeur et pour le port/service de réception (De , À ).

Il vous suffit de spécifier une adresse IP (par exemple, 192.168.0.102) ou un sous-réseau entier (par exemple, 192.168.0.0/24 pour les adresses IPv4 comprises entre 192.168.0.0 et 192.168.0.255).

Dans mon exemple, je vais configurer une règle pour autoriser toutes les requêtes TCP SSH entrantes des systèmes de mon sous-réseau vers une interface réseau spécifique de la machine que j'utilise actuellement. J'ajouterai la règle après toutes mes règles IP standard, afin qu'elle s'applique en plus des autres règles que j'ai configurées.

Fermer le menu.

La règle a été ajoutée avec succès après les autres règles IP standard.

Modifier les règles

Cliquer sur une règle dans la liste des règles la mettra en surbrillance. Maintenant, si vous cliquez sur la petite icône en forme de rouage en bas, vous pouvez modifier la règle en surbrillance.

Cela ouvrira un menu ressemblant à quelque chose comme Avancé menu que j'ai expliqué dans la dernière section.

Remarque : Modifier les options d'une règle la déplacera à la fin de votre liste.

Vous pouvez maintenant sélectionner ether sur Appliquer pour modifier votre règle et la déplacer à la fin de la liste, ou appuyez sur Annuler .

Supprimer des règles

Après avoir sélectionné (surligné) une règle, vous pouvez également cliquer sur icône.

Rapports

Sélectionnez le Rapport languette. Ici, vous pouvez voir les services en cours d'exécution (ainsi que des informations les concernant, telles que le protocole, le port, l'adresse et le nom de l'application). À partir de là, vous pouvez mettre en pause le rapport d'écoute (icône de pause) ou Créer une règle à partir d'un service mis en évidence à partir du rapport d'écoute (+ Icône) .

Journaux

Sélectionnez les Journaux languette. C'est ici que vous devrez vérifier si les erreurs sont des règles suspectes. J'ai essayé de créer des règles non valides pour vous montrer à quoi elles pourraient ressembler lorsque vous ne savez pas pourquoi vous ne pouvez pas ajouter une certaine règle. Dans la section inférieure, il y a deux icônes. Cliquer sur la première icône copie les journaux dans votre presse-papiers et en cliquant sur la deuxième icône efface le journal .

Conclusion

Avoir un pare-feu correctement configuré peut grandement contribuer à votre expérience Ubuntu, rendant votre machine plus sûre à utiliser et vous permettant d'avoir un contrôle total sur le trafic entrant et sortant.

J'ai couvert les différentes utilisations et modes de GUFW , expliquant comment configurer différentes règles et configurer un pare-feu selon vos besoins. J'espère que ce guide vous a été utile.

Si vous êtes un débutant, cela devrait s'avérer être un guide complet; même si vous êtes plus versé dans le monde Linux et que vous vous familiarisez peut-être avec les serveurs et les réseaux, j'espère que vous avez appris quelque chose de nouveau.

Faites-nous savoir dans les commentaires si cet article vous a aidé et pourquoi avez-vous décidé qu'un pare-feu améliorerait votre système !



Linux

  1. Comment configurer votre imprimante sous Linux

  2. Comment configurer un pare-feu avec UFW sur Ubuntu 16.04

  3. Comment configurer un pare-feu avec Firewalld sur CentOS 8

  4. Comment définir des variables d'environnement Linux avec Ansible

  5. Comment configurer un serveur Linux en tant que routeur avec NAT

Comment configurer le pare-feu avec UFW sur Ubuntu Linux

Comment configurer un pare-feu avec UFW sur Debian 11

Comment configurer un killswitch Linux pour les VPN

Comment sécuriser un pare-feu Linux avec les règles IPTables

Comment configurer le pare-feu UFW sous Linux

Comment configurer un pare-feu sur votre serveur Linux