Comment installer et utiliser un pare-feu UFW sur Linux

Comment installer et utiliser un pare-feu UFW sur Linux

Introduction

L'UFW également connu sous le nom de pare-feu simple est une interface à iptables et est particulièrement bien adapté aux pare-feu à base d'hôtes. UFW fournit une interface facile à utiliser pour les utilisateurs débutants qui ne connaissent pas les concepts de pare-feu. C'est un outil de pare-feu le plus populaire originaire d'Ubuntu. Il prend en charge IPv4 et IPv6.

Dans ce tutoriel, nous apprendrons à installer et à utiliser le pare-feu UFW sur Linux.

Exigences

  • Toute distribution basée sur Linux installée sur votre système
  • Configuration des privilèges racine sur votre système

Installation de l'UFW

Ubuntu

Par défaut, UFW est disponible dans la plupart des distributions basées sur Ubuntu. S'il est supprimé, vous pouvez l'installer en exécutant la commande Linux suivante.

# apt-get install ufw -y 

Debian

Vous pouvez installer UFW dans Debian en exécutant la commande Linux suivante:

# apt-get install ufw -y 

Centos

Par défaut, UFW n'est pas disponible dans le référentiel CentOS. Vous devrez donc installer le référentiel EPEL sur votre système. Vous pouvez le faire en exécutant la commande Linux suivante:

# yum installer ePel-Release -y 

Une fois le référentiel EPEL installé, vous pouvez installer UFW en exécutant simplement la commande Linux suivante:

# yum install --enablerepo = "epel" ufw -y 

Après avoir installé UFW, démarrez le service UFW et activez-le pour démarrer le moment de démarrage en exécutant la commande Linux suivante.

# UFW Activer 

Ensuite, vérifiez l'état de l'UFW avec la commande Linux suivante. Vous devriez voir la sortie suivante:

# statut d'état UFW: actif 

Vous pouvez également désactiver le pare-feu UFW en exécutant la commande Linux suivante:

# UFW Désactiver 


Définir la stratégie par défaut UFW

Par défaut, la configuration de la stratégie par défaut UFW pour bloquer tout le trafic entrant et permettre à tout le trafic sortant.

Vous pouvez configurer votre propre stratégie par défaut avec la commande Linux suivante.

La valeur par défaut UFW permet à la valeur par défaut UFW sortante refuser le nouveau 

Ajouter et supprimer les règles de pare-feu

Vous pouvez ajouter des règles pour autoriser le trafic entrant et sortant de deux manières, en utilisant le numéro de port ou en utilisant le nom du service.

Par exemple, si vous souhaitez autoriser les connexions entrantes et sortantes du service HTTP. Ensuite, exécutez la commande Linux suivante à l'aide du nom du service.

UFW autorise HTTP 

Ou exécutez la commande suivante à l'aide du numéro de port:

UFW autorise 80 

Si vous souhaitez filtrer les paquets basés sur TCP ou UDP, exécutez la commande suivante:

UFW Autoriser 80 / TCP UFW Autoriser 21 / UDP 

Vous pouvez vérifier l'état des règles ajoutées avec la commande Linux suivante.

Statut UFW Verbose 

Vous devriez voir la sortie suivante:

Statut: journalisation active: sur (faible) par défaut: refuser (entrant), permettre (sortant), refuser (routé) de nouveaux profils: passer à l'action de - ------ ---- 80 / TCP Autoriser n'importe où 21 / UDP Autoriser n'importe où 80 / TCP (V6) Autoriser n'importe où (V6) 21 / UDP (V6) Autoriser n'importe où (V6) 

Vous pouvez également nier tout trafic entrant et sortant à tout moment avec les commandes suivantes:

# ufw nier 80 # ufw nier 21 

Si vous souhaitez supprimer les règles autorisées pour HTTP, préfixez simplement la règle d'origine avec Supprimer comme indiqué ci-dessous:

# ufw supprimer autoriser http # ufw delete nier 21 


Règles UFW avancées

Vous pouvez également ajouter une adresse IP spécifique pour autoriser et refuser l'accès à tous les services. Exécutez la commande suivante pour autoriser l'IP 192.168.0.200 pour accéder à tous les services du serveur:

# UFW Autoriser à partir de 192.168.0.200 

Pour nier l'IP 192.168.0.200 pour accéder à tous les services sur le serveur:

# UFW nier de 192.168.0.200 

Vous pouvez autoriser une gamme d'adresse IP dans UFW. Exécutez la commande suivante pour permettre à toutes les connexions de IP 192.168.1.1 à 192.168.1.254:

# UFW Autoriser à partir de 192.168.1.0/24 

Pour autoriser l'adresse IP 192.168.1.200 Accès au port 80 à l'aide de TCP, exécutez la commande Linux suivante:

# UFW Autoriser à partir de 192.168.1.200 à n'importe quel port 80 proto TCP 

Pour permettre l'accès à la gamme de ports TCP et UDP de 2000 à 3000, exécutez la commande Linux suivante:

# UFW Autoriser 2000: 3000 / TCP # UFW Autoriser 2000: 3000 / UDP 

Si vous souhaitez bloquer l'accès au port 22 à partir de l'IP 192.168.0.4 et 192.168.0.10 Mais permettez à tous les autres IP d'accès au port 22, exécutez la commande suivante:

# UFW nier de 192.168.0.4 à n'importe quel port 22 # UFW nier de 192.168.0.10 à n'importe quel port 22 # UFW Autoriser à partir de 192.168.0.0/24 à n'importe quel port 22 

Pour autoriser le trafic HTTP sur l'interface réseau eth0, exécutez la commande Linux suivante:

# ufw permettez sur ETH0 à n'importe quel port 80 

Par défaut, UFW autorise les demandes de ping. Si vous souhaitez refuser la demande de ping, vous devrez modifier / etc / ufw / avant.Fichier de règles:

# nano / etc / ufw / avant.règles 

Retirez les lignes suivantes:

-Un ufw-before-entrée -p ICMP --icmp-type de destination-unreachable -j accepte -a ufw-before-enthin -p icmp --icmp-type Source-Quench -j accepter -a ufw-before-input -p ICMP --icmp-Type Exceed exceed -j accepter -a ufw-before-ent-gol demande -J accepter 

Enregistrez le fichier, lorsque vous avez terminé.

Si vous avez besoin de réinitialiser UFW, en supprimant toutes vos règles, vous pouvez le faire via la commande Linux suivante.

# réinitialisation UFW 

Configurer NAT avec UFW

Si vous souhaitez nat les connexions de l'interface externe vers l'interne à l'aide de UFW. Ensuite, vous pouvez le faire en modifiant / etc / par défaut / ufw et / etc / ufw / avant.règles déposer.
Tout d'abord, ouvert / etc / par défaut / ufw Fichier à l'aide de Nano Editor:

# nano / etc / par défaut / ufw 

Changez la ligne suivante:

Default_forward_policy = "accepter" 


Ensuite, vous devrez également autoriser le transfert IPv4. Vous pouvez le faire en modifiant / etc / ufw / sysctl.confli déposer:

# nano / etc / ufw / sysctl.confli 

Changez la ligne suivante:

net / ipv4 / ip_forward = 1 

Ensuite, vous devrez ajouter NAT au fichier de configuration d'UFW. Vous pouvez le faire en modifiant / etc / ufw / avant.règles déposer:

# nano / etc / ufw / avant.règles 

Ajoutez les lignes suivantes juste avant les règles du filtre:

# Nat Table Rules * Nat: Postrouting accepte [0: 0] # Trafic transfert via Eth0 - Changez pour vous faire correspondre à l'interface -a postrouting -s 192.168.1.0/24 -o eth0 -j Masquerade # Ne supprimez pas la ligne «Commit» ou ces règles de table NAT ne seront pas traitées comme Enregistrer le fichier lorsque vous avez terminé. Puis redémarrez UFW avec la commande Linux suivante: UFW Désactiver UFW Activer 

Configurer le transfert de port avec UFW

Si vous souhaitez transmettre le trafic à partir de la propriété publique par exemple. 150.129.148.155 port 80 et 443 à un autre serveur interne avec adresse IP 192.168.1.120. Ensuite, vous pouvez le faire en modifiant / etc / par défaut / avant.règles:

# nano / etc / par défaut / avant.règles 

Modifiez le fichier comme indiqué ci-dessous:

: PREROUTING ACCEPT [0: 0] -A PREROUTING -I ETH0 -D 150.129.148.155 -P TCP --DPPORT 80 -J DNAT --To-Destination 192.168.1.120: 80 -A PREROUTING -I ETH0 -D 150.129.148.155 -P TCP --DPORT 443 -J DNAT --To-Destination 192.168.1.120: 443 -Un post-artoutage -S 192.168.1.0/24 ! -D 192.168.1.0/24 -J Masquerade 

Ensuite, redémarrez UFW avec la commande suivante:

# UFW Disable # UFW Activer 

Ensuite, vous devrez également autoriser le port 80 et 443. Vous pouvez le faire en exécutant la commande suivante:

# UFW Autoriser Proto TCP de n'importe quel à 150.129.148.155 Port 80 # UFW Autoriser Proto TCP de n'importe quel à 150.129.148.155 Port 443 

Tutoriels Linux connexes:

  • Choses à installer sur Ubuntu 20.04
  • Choses à faire après l'installation d'Ubuntu 20.04 Focal Fossa Linux
  • Choses à installer sur Ubuntu 22.04
  • Une introduction à l'automatisation Linux, des outils et des techniques
  • Comment ping adresse IPv6 sur Linux
  • Choses à faire après l'installation d'Ubuntu 22.04 Jammy Jellyfish…
  • Ubuntu 20.04 Guide
  • Ubuntu 20.04 astuces et choses que vous ne savez peut-être pas
  • Téléchargement Linux
  • Comment SSH à l'adresse IPv6 sur Linux