Utilisation du pare-feu avec UFW sur Ubuntu Linux [Beginner’s Guide]

UFW (Uncomplicated Firewall) est un utilitaire de pare-feu facile à utiliser avec de nombreuses options pour tous les types d’utilisateurs.

Il s’agit en fait d’une interface pour iptables, qui est l’outil classique de bas niveau (et moins confortable) pour définir des règles pour votre réseau.

Pourquoi avez-vous besoin d’utiliser un pare-feu ?

Un pare-feu est un moyen de réguler le trafic entrant et sortant sur votre réseau. Ceci est important pour les serveurs, mais cela rend également le système d’un utilisateur régulier plus sécurisé, vous donnant le contrôle. Si vous faites partie de ces personnes qui aiment garder les choses sous contrôle à un niveau avancé, même sur le bureau, vous voudrez peut-être envisager de configurer un pare-feu.

En d’autres termes, un pare-feu est requis pour les serveurs. Sur les ordinateurs de bureau, c’est à vous de décider si vous souhaitez le configurer.

Configuration d’un pare-feu à l’aide d’UFW

Il est important de configurer correctement les pare-feux. Une configuration incorrecte peut rendre le serveur inaccessible si vous le faites pour un système Linux distant, tel qu’un serveur cloud ou VPS. Par exemple, vous bloquez tout le trafic entrant vers le serveur auquel vous accédez via SSH. Maintenant, vous ne pouvez plus accéder au serveur via SSH.

Dans ce tutoriel, je vais discuter de la configuration d’un pare-feu qui répond à vos besoins, en vous donnant un aperçu de ce qui peut être fait avec cet utilitaire simple. Il devrait convenir à la fois aux utilisateurs de serveurs Ubuntu et de bureau.

Veuillez noter que j’utiliserai ici la méthode de la ligne de commande. Il existe une interface graphique appelée Gufw pour les utilisateurs de bureau, mais je ne la couvrirai pas dans ce didacticiel. Il existe un guide Gufw dédié si vous souhaitez l’utiliser.

Installer UFW

Si vous utilisez Ubuntu, UFW devrait déjà être installé. Sinon, vous pouvez l’installer à l’aide de la commande suivante :

sudo apt install ufw

Pour les autres distributions, veuillez utiliser votre gestionnaire de packages pour installer UFW.

Pour vous assurer que UFW est correctement installé, entrez :

ufw --version

S’il est installé, vous devriez voir les détails de la version :

[email protected]:~$ ufw --version
ufw 0.36.1
Copyright 2008-2021 Canonical Ltd.

Gros! Vous avez donc UFW sur votre système. Voyons maintenant son utilisation.

Remarque : Vous devez utiliser sudo ou être root pour exécuter (presque) toutes les commandes ufw.

Vérifier le statut et les règles ufw

UFW fonctionne en définissant des règles pour le trafic entrant et sortant. Ces règles consistent à en permettant et refus source et destination spécifiques.

Vous pouvez vérifier les règles du pare-feu à l’aide de la commande suivante :

sudo ufw status

Il devrait vous donner la sortie suivante à ce stade :

Status: inactive

La commande ci-dessus vous montrera les règles du pare-feu si le pare-feu est activé. Par défaut, UFW est désactivé et n’affecte pas votre réseau. Nous nous occuperons de la section suivante.

Vérification de l’état de l’UFW

Mais voici le problème, vous pouvez voir et modifier les règles du pare-feu même si ufw est désactivé.

sudo ufw show added

Et dans mon cas, il a montré ce résultat:

[email protected]:~$ sudo ufw show added
Added user rules (see 'ufw status' for running firewall):
ufw allow 22/tcp
[email protected]:~$

Maintenant, je ne me souviens plus si j’ai ajouté cette règle manuellement ou non. Ce n’est pas un nouveau système.

Règles par défaut

Par défaut, UFW refuse tout trafic entrant et autorise tout trafic sortant. Ce comportement est parfaitement logique pour l’utilisateur de bureau moyen, car vous souhaitez pouvoir vous connecter à divers services (comme http/https pour accéder aux pages Web) et vous ne voulez pas que quelqu’un d’autre puisse se connecter à votre machine.

cependant, si vous utilisez un serveur distant, vous devez autoriser le trafic sur le port SSH afin que vous puissiez vous connecter au système à distance.

Vous pouvez autoriser le trafic sur le port 22 par défaut de SSH :

sudo ufw allow 22

Si vous utilisez SSH sur un autre port, autorisez-le au niveau du service :

sudo ufw allow ssh

Notez que le pare-feu n’est pas encore actif. C’est une bonne chose. Vous pouvez modifier les règles avant d’activer ufw afin que les services importants ne soient pas affectés.

Si vous utilisez UFW qui est un serveur de production, assurez-vous d’autoriser les ports via UFW pour l’exécution des services.

Par exemple, les serveurs Web utilisent généralement le port 80, utilisez donc “sudo ufw allow 80”. Vous pouvez également le faire au niveau du service “sudo ufw allow apache”.

Cette responsabilité est de votre côté et il vous incombe de vous assurer que votre serveur fonctionne correctement.

Pour utilisateurs de bureauvous pouvez continuer avec les stratégies par défaut.

sudo ufw default deny incoming
sudo ufw default allow outgoing

Activer et désactiver UFW

Pour qu’UFW fonctionne, vous devez l’activer :

sudo ufw enable

Cela démarrera le pare-feu et programmera son démarrage à chaque démarrage. Vous avez reçu le message suivant :

Firewall is active and enabled on system startup.

encore: si vous êtes connecté à une machine via ssh, assurez-vous que ssh est autorisé avant d’activer ufw via login sudo ufw autoriser ssh.

Si vous souhaitez désactiver UFW, tapez :

sudo ufw disable

Vous reviendrez :

Firewall stopped and disabled on system startup

Recharger le pare-feu pour les nouvelles règles

Si UFW est déjà activé et que vous modifiez les règles du pare-feu, vous devez le recharger avant que les modifications ne prennent effet.

Vous pouvez redémarrer UFW en le désactivant et en le réactivant :

sudo ufw disable && sudo ufw enable

Ou alors Recharger règles:

sudo ufw reload

Réinitialiser les règles de pare-feu par défaut

Si, à tout moment, vous enfreignez l’une de vos règles et souhaitez revenir aux règles par défaut (c’est-à-dire, aucune exception pour autoriser le trafic entrant ou le refuser), vous pouvez recommencer avec :

sudo ufw reset

Notez que cela supprimera toutes vos configurations de pare-feu.

Configuration d’un pare-feu à l’aide d’UFW (vue plus détaillée)

Poursuivre! Vous avez donc appris la plupart des commandes ufw de base. À ce stade, je préfère entrer un peu plus dans les détails sur la configuration de la règle de pare-feu.

Autoriser et refuser par protocole et port

C’est ainsi que vous ajoutez de nouvelles exceptions à votre pare-feu ; Autoriser permet à votre machine de recevoir des données du service spécifié, tandis que refuser faire le contraire

Par défaut, ces commandes ajouteront des règles pour les deux IP et IPv6. Si vous souhaitez modifier ce comportement, vous devez modifier /etc/default/ufw. Changer

IPV6=yes

dans

IPV6=no

Cela dit, les commandes principales sont :

sudo ufw allow /
sudo ufw deny /

Si la règle a été ajoutée avec succès, vous obtiendrez :

Rules updated
Rules updated (v6)

Exemple:

sudo ufw allow 80/tcp
sudo ufw deny 22
sudo ufw deny 443/udp

Rappelles toi: si vous n’incluez pas de protocole spécifique, la règle pour les deux s’appliquera TCP et UDP.

Si vous activez (ou, s’il est déjà en cours d’exécution, rechargez) UFW et vérifiez son état, vous verrez que les nouvelles règles ont été appliquées avec succès.

Vous pouvez également autoriser/refuser plages de ports. Pour ce type de règle, vous devez spécifier le protocole. Exemple:

sudo ufw allow 90:100/tcp

Autorisez tous les services sur les ports 90 à 100 en utilisant le protocole TCP. Vous pouvez recharger et vérifier l’état :

Plages de ports UFW

Autoriser et refuser les services

Pour faciliter les choses, vous pouvez également ajouter des règles en utilisant le nom du service :

sudo ufw allow 
sudo ufw deny 

Par exemple, pour autoriser les services ssh et de blocage entrants et les services HTTP entrants :

sudo ufw allow ssh
sudo ufw deny http

En faisant cela, UFW les services seront lus à partir de /etc/service. Vous pouvez vérifier la liste vous-même :

less /etc/services
Liste /etc/services

Ajouter des règles pour les applications

Certaines applications fournissent des services spécifiquement nommés pour faciliter l’utilisation et peuvent même utiliser différents ports. Un exemple est chut. Vous pouvez voir une liste de ces applications présentes sur votre machine avec les éléments suivants :

sudo ufw app list
Liste des applications UFW

Dans mon cas, les applications disponibles sont KOSHA (un système d’impression en réseau) et OpenSSH.

Pour ajouter une règle pour une application, saisissez :

sudo ufw allow 
sudo ufw deny 

Exemple:

sudo ufw allow OpenSSH

En rechargeant et en vérifiant le statut, vous devriez voir que la règle a été ajoutée :

Applications UFW

Conclusion

Ce n’est que la fin de iceberg pare-feu. Il existe de nombreux autres pare-feux Linux qui pourraient écrire un livre dessus. En fait, il existe déjà un excellent livre Linux Firewalls de Steve Suehring.

Si vous envisagez de configurer un pare-feu avec UFW, vous devriez essayer d’utiliser iptables ou nftables. Ensuite, vous saurez comment UFW n’est pas compliqué à configurer le pare-feu.

J’espère que vous avez apprécié ce guide du débutant sur UFW. Faites-moi savoir si vous avez des questions ou des suggestions.


Leave a Reply

Your email address will not be published. Required fields are marked *