GNU/Linux >> Tutoriels Linux >  >> Linux

Comment autoriser ou bloquer le port et l'adresse IP à l'aide de Firewalld, de tables IP et d'UFW sous Linux ?

Sous Linux, le pare-feu est essentiel pour contrôler le trafic réseau entrant et sortant. Il est très facile d'autoriser ou de bloquer les adresses IP et les ports à l'aide du pare-feu. Voici les commandes pour autoriser ou bloquer les adresses IP et les ports à l'aide de divers pare-feu.

Pare-feu

Firewalld est un outil de gestion de pare-feu sous Linux. Il est configuré avec des fichiers XML. Nous pouvons utiliser l'interface de ligne de commande de firewall-cmd pour configurer et manipuler les règles de pare-feu.

  1. Autoriser le trafic entrant sur le port 80. La commande ci-dessous autorisera le trafic sur le port 80.

    # sudo firewall-cmd --zone=public --add-port=80/tcp
  2. Autoriser le port entrant 80 dans le pare-feu permanent.

    # sudo firewall-cmd --zone=public --permanent --add-port=80/tcp
  3. Refuser le numéro de port sortant 25. La commande ci-dessous bloquera toutes les connexions sortantes à partir du port 25.

    # firewall-cmd --permanent --direct --add-rule ipv4 filter OUTPUT 0 -p tcp -m tcp -d 127.0.0.1 --dport=25 -j ACCEPT
    
# firewall-cmd --permanent --direct --add-rule ipv4 filter OUTPUT 1 -p tcp -m tcp --dport=25 -j REJECT
    
# firewall-cmd --reload
  4. Refuser le port entrant numéro 80. La commande ci-dessous refusera tout le trafic pour le port 80.

    # sudo firewall-cmd --remove-port=80/tcp --permanent
  5. Exécutez la commande ci-dessous pour bloquer une adresse IP dans Firewalld. Remplacez 173.248.192.11 par votre adresse IP.

    # sudo firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='173.248.192.11' reject"
  6. Ouvrir le port pour l'adresse IP spécifique dans Firewalld. Ajoutez l'adresse IP source et le port (3306) que vous souhaitez ouvrir sur votre serveur local Linux. Après cela, rechargez les paramètres de firewalld pour appliquer les modifications.

    # firewall-cmd --zone=mariadb-access --add-source=173.248.192.11 --permanent
    
# firewall-cmd --zone=mariadb-access --add-port=3306/tcp  --permanent
    
# firewall-cmd --reload

Iptables

Iptables utilise un ensemble de tables qui ont des chaînes contenant un ensemble de règles intégrées ou définies par l'utilisateur. En utilisant ces règles, nous pouvons filtrer le trafic réseau sur les machines Linux.

  1. Exécutez la commande ci-dessous pour autoriser toutes les connexions HTTP entrantes (port 80).

    # sudo iptables -A INPUT -p tcp --dport 80 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
    
# sudo iptables -A OUTPUT -p tcp --sport 80 -m conntrack --ctstate ESTABLISHED -j ACCEPT
    La deuxième commande autorise le trafic sortant des connexions HTTP établies, nécessaire si la politique sortante n'est pas définie sur ACCEPTER.

  2. Exécutez la commande ci-dessous pour autoriser plusieurs ports entrants. La commande ci-dessous acceptera le trafic des ports 22,53 et 80.

    # /sbin/iptables -A INPUT -p tcp --match multiport --dports 22,53,80 -j ACCEPT
  3. Refuser le port entrant 80 à l'aide d'IPtables. La commande ci-dessous refusera toutes les connexions entrantes pour le port 80.

    # /sbin/iptables -A OUTPUT -p tcp --dport 80 -j DROP
    
# /sbin/service iptables save
  4. Bloquer une adresse IP dans IPtables. Remplacez 173.248.192.11 par votre adresse IP.

    # sudo iptables -A INPUT -s 173.248.192.11 -j DROP
  5. Ouvrir le port pour une adresse IP spécifique dans IPtables. Autoriser le SSH entrant à partir d'une adresse IP ou d'un sous-réseau spécifique.

    # sudo iptables -A INPUT -p tcp -s 173.248.192.11 --dport 22 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
    # sudo iptables -A OUTPUT -p tcp --sport 22 -m conntrack --ctstate ESTABLISHED -j ACCEPT

UFW – Pare-feu simple

UFW est également connu sous le nom de pare-feu non compliqué. Il convient aux pare-feux basés sur l'hôte. Il prend en charge IPv4 et IPv6.

  1. Autoriser le port entrant 80. La commande ci-dessous autorisera tout le trafic provenant du port 80.

    # sudo ufw allow 80
  2. Autoriser plusieurs ports entrants. La commande ci-dessous autorisera le trafic entrant des ports 53, 80 et 443.

    # sudo ufw allow 53,80,443
  3. Refuser le port entrant 80. La commande ci-dessous refusera tout le trafic entrant pour les ports 80.

    # sudo ufw deny 22
  4. Refuser le port sortant 25. La commande ci-dessous refusera tout le trafic sortant du port 25.

    # sudo ufw deny out 25
  5. Bloquer une adresse IP dans UFW. Vous pouvez bloquer n'importe quelle adresse IP pour le trafic entrant sur votre machine.

    # sudo ufw deny from 173.248.192.11
  6. Ouvrir le port pour une adresse IP spécifique dans UFW. La commande ci-dessous ouvrira le port 80 pour l'adresse IP mentionnée. Vous pouvez la remplacer par votre adresse IP.

    # sudo ufw allow from 173.248.192.11 to any port 80

Linux

  1. Comment bloquer les adresses usurpées locales à l'aide du pare-feu Linux

  2. Comment changer l'adresse MAC en utilisant macchanger sur Kali Linux

  3. Comment définir une adresse IP statique et configurer le réseau sous Linux

  4. Comment vérifier la version du système d'exploitation et de Linux

  5. Linux - Comment trouver des processus utilisant le port série ?

Comment configurer une adresse IP statique sous Linux et Unix

Comment effacer en toute sécurité un disque et un fichier à l'aide de la commande Linux shred

Comment bloquer un port à l'aide d'un pare-feu sous Linux

Comment changer le port SSH par défaut sous Linux [correctement et en toute sécurité]

Comment bloquer une adresse IP en utilisant .htaccess ?

Comment configurer le pare-feu UFW sous Linux