Le pare-feu simple (UFW) fournit une interface facile à utiliser pour les personnes peu familiarisées avec les concepts de pare-feu. Il fournit un cadre pour gérer netfilter ainsi que l'interface de ligne de commande pour manipuler le pare-feu. Avec son petit jeu de commandes et ses paramètres en anglais clair, UFW permet de comprendre et de configurer rapidement et facilement des règles de pare-feu. En même temps, vous pouvez utiliser UFW pour configurer la plupart des règles possibles avec iptables. UFW est préinstallé avec toutes les installations d'Ubuntu après la version 8.04 LTS.
Suivez ces étapes pour sécuriser le réseau avec un pare-feu simple :
1. UFW est préinstallé sur la plupart des systèmes. S'il n'est pas installé, vous pouvez obtenir l'erreur ci-dessous :
ufw: command not found
2. Si ce n'est pas le cas, vous pouvez l'installer avec la commande suivante selon votre choix de distribution :
| Répartition | Commande |
|---|---|
| Debian | apt-get install ufw |
| Ubuntu | apt-get install ufw |
| Arch Linux | pacman -S ufw |
| Kali Linux | apt-get install ufw |
| Fédora | dnf install ufw |
| Raspbian | apt-get install ufw |
Prenons un exemple de système ubuntu :
$ sudo apt-get udpate $ sudo apt-get install UFW
3. Vérifiez l'état d'UFW :
$ sudo ufw status
4. Ajoutez une nouvelle règle pour autoriser SSH :
$ sudo ufw allow ssh
5. Vous pouvez également utiliser un numéro de port pour ouvrir un port particulier :
$ sudo ufw allow 22
6. Autoriser uniquement le trafic TCP sur HTTP (port 80) :
$ sudo ufw allow http/tcp
7. Refuser le trafic FTP entrant :
$ sudo ufw deny ftp
8. Vérifiez toutes les règles ajoutées avant de démarrer le pare-feu :
$ sudo ufw show added
9. Activez maintenant le pare-feu :
$ sudo ufw enable
10. Vérifiez le statut ufw, le paramètre verbeux est facultatif :
$ sudo ufw status verbose
Exemples de commandes ufw
1. Activer ufw :
# ufw enable
2. Désactiver ufw :
# ufw disable
3. Afficher les règles ufw, ainsi que leurs numéros :
# ufw status numbered
4. Autorisez le trafic entrant sur le port 5432 sur cet hôte avec un commentaire identifiant le service :
# ufw allow 5432 comment "Service"
5. Autorisez uniquement le trafic TCP de 192.168.0.4 vers n'importe quelle adresse sur cet hôte, sur le port 22 :
# ufw allow proto tcp from 192.168.0.4 to any port 22
6. Refuser le trafic sur le port 80 sur cet hôte :
# ufw deny 80
7. Refuser tout le trafic UDP vers les ports dans la plage 8412:8500 :
# ufw deny proto udp from any to any port 8412:8500
8. Supprimez une règle particulière. Le numéro de règle peut être récupéré à partir de la commande `ufw status numbered` :
# ufw delete rule_number
9. Obtenez une liste numérotée des règles ajoutées :
$ sudo ufw status numbered
10. Vous pouvez également autoriser tous les ports d'une plage en spécifiant une plage de ports :
$ sudo ufw allow 1050:5000/tcp
11. Si vous souhaitez ouvrir tous les ports pour une adresse IP particulière, utilisez la commande suivante :
$ sudo ufw allow from 10.0.2.100
Vous pouvez également autoriser un sous-réseau entier, comme suit :
$ sudo ufw allow from 10.0.2.0/24
12. Vous pouvez également autoriser ou refuser un port spécifique pour une adresse IP donnée :
$ sudo ufw allow from 10.0.2.100 to any port 2222 $ sudo ufw deny from 10.0.2.100 to any port 5223
13. Pour spécifier un protocole dans la règle précédente, utilisez la commande suivante :
$ sudo ufw deny from 10.0.2.100 proto tcp to any port 5223
14. Règles de suppression :
$ sudo ufw delete allow ftp
15. Supprimez des règles en précisant leurs numéros :
$ sudo ufw status numbered $ sudo ufw delete 2
16. Ajoutez une nouvelle règle à un numéro spécifique :
$ sudo ufw insert 1 allow 5222/tcp # Inserts a rule at number 1
17. Si vous souhaitez rejeter les connexions FTP sortantes, vous pouvez utiliser la commande suivante :
$ sudo ufw reject out ftp