Comment configurer un pare-feu avec UFW dans Ubuntu \ Debian

Présentation

Le noyau Linux inclut le Netfilter sous-système, qui est utilisé pour manipuler ou décider du sort du trafic réseau dirigé vers ou via votre serveur. Toutes les solutions de pare-feu Linux modernes utilisent ce système pour le filtrage de paquets.

UFW – Pare-feu simple

L'outil de configuration de pare-feu par défaut pour Ubuntu est UFW. Développé pour faciliter la configuration du pare-feu iptables, UFW fournit un moyen convivial de créer un pare-feu basé sur l'hôte IPv4 ou IPv6.

UFW par défaut est initialement désactivé. À partir de la page de manuel UFW :

"UFW n'est pas destiné à fournir une fonctionnalité de pare-feu complète via son interface de commande, mais fournit plutôt un moyen simple d'ajouter ou de supprimer des règles simples. Il est actuellement principalement utilisé pour les pare-feu basés sur l'hôte. »

Comment installer UFW dans Ubuntu \ Debian ?

UFW fait partie de l'installation standard d'Ubuntu 20.04 et doit être présent sur votre système. Si pour une raison quelconque, il n'est pas installé, vous pouvez installer le package en tapant :

# Install UFW
sudo apt update
sudo apt install ufw
Code language: PHP (php)

Comment activer ou désactiver UFW

Avec cette commande, nous pouvons activer ou désactiver l'agent UFW dans notre système d'exploitation, nous avons également une troisième option de réinitialisation que nous avons répertoriée ci-dessous dans cet article.

# Enable uncomplicated firewall
sudo ufw enable

# Disable uncomplicated firewall
sudo ufw disable
Code language: PHP (php)

Configuration des règles par défaut

Le comportement par défaut du pare-feu UFW est de bloquer tout le trafic entrant et de transfert et d'autoriser tout le trafic sortant. Cela signifie que toute personne essayant d'accéder à votre serveur ne pourra pas se connecter à moins que vous n'ouvriez spécifiquement le port. Les applications et services exécutés sur votre serveur pourront accéder au monde extérieur.

# Setting Up Default Policies
sudo ufw default deny incoming
sudo ufw default allow outgoing
Code language: PHP (php)

Comment ajouter ou refuser un port spécifique

Autoriser un port va autoriser les connexions à ce port spécifique. Dans ce cas, nous allons autoriser les connexions ssh au port 22 ou si nous le voulons, nous allons les refuser.

# Add port
sudo ufw allow 22

# Deny port
sudo ufw deny 22
Code language: PHP (php)

Comment supprimer une règle spécifique

Parfois, nous n'avons pas besoin de certaines des règles que nous avons créées, nous pouvons donc les supprimer avec cette simple commande.

# Remove rule
sudo ufw delete deny 22
Code language: PHP (php)

Autoriser le port uniquement à partir d'une adresse IP spécifique

Dans ce cas, nous n'autoriserons l'accès à notre serveur qu'à partir de l'adresse IP 192.168.0.2 , les autres adresses IP seront refusées.

# Allow 192.168.0.2 to access our server
sudo ufw allow proto tcp from 192.168.0.2 to any port 22
Code language: CSS (css)

Vérifier l'état du pare-feu

UFW est désactivé par défaut. Vous pouvez vérifier l'état du service UFW avec la commande suivante :

# Check status
sudo ufw status
Code language: PHP (php)

Travailler avec des applications

Un profil d'application est un fichier texte au format INI qui décrit le service et contient des règles de pare-feu pour le service. Les profils d'application sont créés dans le /etc/ufw/applications.d répertoire lors de l'installation du package.

# View which applications have installed a profile
sudo ufw app list

# Allow application
sudo ufw allow samba

# Allow only specific IP or IP-range to enter application
ufw allow from 192.168.0.0/24 to any app samba
ufw allow from 192.168.0.2 to any app samba

# Details about which ports, protocols, etc., are defined for an application
sudo ufw app info samba
Code language: PHP (php)

Activer les journaux pour UFW

Les journaux de pare-feu sont essentiels pour reconnaître les attaques, dépanner vos règles de pare-feu et remarquer une activité inhabituelle sur votre réseau. Vous devez cependant inclure des règles de journalisation dans votre pare-feu pour qu'elles soient générées, et les règles de journalisation doivent précéder toute règle de terminaison applicable (une règle avec une cible qui décide du sort du paquet, comme ACCEPT, DROP ou REJECT).

# Enable logs
sudo ufw logging on

# Disable logs
sudo ufw loggin off
Code language: PHP (php)

Connexions à une interface réseau spécifique

Si vous souhaitez créer une règle de pare-feu qui ne s'applique qu'à une interface réseau spécifique, vous pouvez le faire en spécifiant "allow in on" suivi du nom de l'interface réseau.

# Check what is your card name
ip addr

# Example
1: <strong>eth0</strong>: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state

# Allow card to port name
sudo ufw allow in on eth0 to any port 80
Code language: PHP (php)

Réinitialiser UFW

Cela désactivera UFW et supprimera toutes les règles précédemment définies. Gardez à l'esprit que les politiques par défaut ne seront pas remplacées par leurs paramètres d'origine si vous les avez modifiées à tout moment. Cela devrait vous donner un nouveau départ avec UFW.

# Reset UFW
sudo ufw reset
Code language: PHP (php)

Tutoriel vidéo sur la façon de faire les choses dans l'article

Nous espérons que vous avez apprécié cet article. Si tel est le cas, veuillez noter cette page avec les étoiles ci-dessous et vous abonner à notre chaîne YouTube.