Comment installer et utiliser un pare-feu UFW sur Linux
- 3119
- 92
- Maxence Arnaud
Introduction
L'UFW également connu sous le nom de pare-feu simple est une interface à iptables et est particulièrement bien adapté aux pare-feu à base d'hôtes. UFW fournit une interface facile à utiliser pour les utilisateurs débutants qui ne connaissent pas les concepts de pare-feu. C'est un outil de pare-feu le plus populaire originaire d'Ubuntu. Il prend en charge IPv4 et IPv6.
Dans ce tutoriel, nous apprendrons à installer et à utiliser le pare-feu UFW sur Linux.
Exigences
- Toute distribution basée sur Linux installée sur votre système
- Configuration des privilèges racine sur votre système
Installation de l'UFW
Ubuntu
Par défaut, UFW est disponible dans la plupart des distributions basées sur Ubuntu. S'il est supprimé, vous pouvez l'installer en exécutant la commande Linux suivante.
# apt-get install ufw -y
Debian
Vous pouvez installer UFW dans Debian en exécutant la commande Linux suivante:
# apt-get install ufw -y
Centos
Par défaut, UFW n'est pas disponible dans le référentiel CentOS. Vous devrez donc installer le référentiel EPEL sur votre système. Vous pouvez le faire en exécutant la commande Linux suivante:
# yum installer ePel-Release -y
Une fois le référentiel EPEL installé, vous pouvez installer UFW en exécutant simplement la commande Linux suivante:
# yum install --enablerepo = "epel" ufw -y
Après avoir installé UFW, démarrez le service UFW et activez-le pour démarrer le moment de démarrage en exécutant la commande Linux suivante.
# UFW Activer
Ensuite, vérifiez l'état de l'UFW avec la commande Linux suivante. Vous devriez voir la sortie suivante:
# statut d'état UFW: actif
Vous pouvez également désactiver le pare-feu UFW en exécutant la commande Linux suivante:
# UFW Désactiver
Définir la stratégie par défaut UFW
Par défaut, la configuration de la stratégie par défaut UFW pour bloquer tout le trafic entrant et permettre à tout le trafic sortant.
Vous pouvez configurer votre propre stratégie par défaut avec la commande Linux suivante.
La valeur par défaut UFW permet à la valeur par défaut UFW sortante refuser le nouveau
Ajouter et supprimer les règles de pare-feu
Vous pouvez ajouter des règles pour autoriser le trafic entrant et sortant de deux manières, en utilisant le numéro de port ou en utilisant le nom du service.
Par exemple, si vous souhaitez autoriser les connexions entrantes et sortantes du service HTTP. Ensuite, exécutez la commande Linux suivante à l'aide du nom du service.
UFW autorise HTTP
Ou exécutez la commande suivante à l'aide du numéro de port:
UFW autorise 80
Si vous souhaitez filtrer les paquets basés sur TCP ou UDP, exécutez la commande suivante:
UFW Autoriser 80 / TCP UFW Autoriser 21 / UDP
Vous pouvez vérifier l'état des règles ajoutées avec la commande Linux suivante.
Statut UFW Verbose
Vous devriez voir la sortie suivante:
Statut: journalisation active: sur (faible) par défaut: refuser (entrant), permettre (sortant), refuser (routé) de nouveaux profils: passer à l'action de - ------ ---- 80 / TCP Autoriser n'importe où 21 / UDP Autoriser n'importe où 80 / TCP (V6) Autoriser n'importe où (V6) 21 / UDP (V6) Autoriser n'importe où (V6)
Vous pouvez également nier tout trafic entrant et sortant à tout moment avec les commandes suivantes:
# ufw nier 80 # ufw nier 21
Si vous souhaitez supprimer les règles autorisées pour HTTP, préfixez simplement la règle d'origine avec Supprimer comme indiqué ci-dessous:
# ufw supprimer autoriser http # ufw delete nier 21
Règles UFW avancées
Vous pouvez également ajouter une adresse IP spécifique pour autoriser et refuser l'accès à tous les services. Exécutez la commande suivante pour autoriser l'IP 192.168.0.200 pour accéder à tous les services du serveur:
# UFW Autoriser à partir de 192.168.0.200
Pour nier l'IP 192.168.0.200 pour accéder à tous les services sur le serveur:
# UFW nier de 192.168.0.200
Vous pouvez autoriser une gamme d'adresse IP dans UFW. Exécutez la commande suivante pour permettre à toutes les connexions de IP 192.168.1.1 à 192.168.1.254:
# UFW Autoriser à partir de 192.168.1.0/24
Pour autoriser l'adresse IP 192.168.1.200 Accès au port 80 à l'aide de TCP, exécutez la commande Linux suivante:
# UFW Autoriser à partir de 192.168.1.200 à n'importe quel port 80 proto TCP
Pour permettre l'accès à la gamme de ports TCP et UDP de 2000 à 3000, exécutez la commande Linux suivante:
# UFW Autoriser 2000: 3000 / TCP # UFW Autoriser 2000: 3000 / UDP
Si vous souhaitez bloquer l'accès au port 22 à partir de l'IP 192.168.0.4 et 192.168.0.10 Mais permettez à tous les autres IP d'accès au port 22, exécutez la commande suivante:
# UFW nier de 192.168.0.4 à n'importe quel port 22 # UFW nier de 192.168.0.10 à n'importe quel port 22 # UFW Autoriser à partir de 192.168.0.0/24 à n'importe quel port 22
Pour autoriser le trafic HTTP sur l'interface réseau eth0, exécutez la commande Linux suivante:
# ufw permettez sur ETH0 à n'importe quel port 80
Par défaut, UFW autorise les demandes de ping. Si vous souhaitez refuser la demande de ping, vous devrez modifier / etc / ufw / avant.Fichier de règles:
# nano / etc / ufw / avant.règles
Retirez les lignes suivantes:
-Un ufw-before-entrée -p ICMP --icmp-type de destination-unreachable -j accepte -a ufw-before-enthin -p icmp --icmp-type Source-Quench -j accepter -a ufw-before-input -p ICMP --icmp-Type Exceed exceed -j accepter -a ufw-before-ent-gol demande -J accepter
Enregistrez le fichier, lorsque vous avez terminé.
Si vous avez besoin de réinitialiser UFW, en supprimant toutes vos règles, vous pouvez le faire via la commande Linux suivante.
# réinitialisation UFW
Configurer NAT avec UFW
Si vous souhaitez nat les connexions de l'interface externe vers l'interne à l'aide de UFW. Ensuite, vous pouvez le faire en modifiant / etc / par défaut / ufw et / etc / ufw / avant.règles déposer.
Tout d'abord, ouvert / etc / par défaut / ufw Fichier à l'aide de Nano Editor:
# nano / etc / par défaut / ufw
Changez la ligne suivante:
Default_forward_policy = "accepter"
Ensuite, vous devrez également autoriser le transfert IPv4. Vous pouvez le faire en modifiant / etc / ufw / sysctl.confli déposer:
# nano / etc / ufw / sysctl.confli
Changez la ligne suivante:
net / ipv4 / ip_forward = 1
Ensuite, vous devrez ajouter NAT au fichier de configuration d'UFW. Vous pouvez le faire en modifiant / etc / ufw / avant.règles déposer:
# nano / etc / ufw / avant.règles
Ajoutez les lignes suivantes juste avant les règles du filtre:
# Nat Table Rules * Nat: Postrouting accepte [0: 0] # Trafic transfert via Eth0 - Changez pour vous faire correspondre à l'interface -a postrouting -s 192.168.1.0/24 -o eth0 -j Masquerade # Ne supprimez pas la ligne «Commit» ou ces règles de table NAT ne seront pas traitées comme Enregistrer le fichier lorsque vous avez terminé. Puis redémarrez UFW avec la commande Linux suivante: UFW Désactiver UFW Activer
Configurer le transfert de port avec UFW
Si vous souhaitez transmettre le trafic à partir de la propriété publique par exemple. 150.129.148.155 port 80 et 443 à un autre serveur interne avec adresse IP 192.168.1.120. Ensuite, vous pouvez le faire en modifiant / etc / par défaut / avant.règles:
# nano / etc / par défaut / avant.règles
Modifiez le fichier comme indiqué ci-dessous:
: PREROUTING ACCEPT [0: 0] -A PREROUTING -I ETH0 -D 150.129.148.155 -P TCP --DPPORT 80 -J DNAT --To-Destination 192.168.1.120: 80 -A PREROUTING -I ETH0 -D 150.129.148.155 -P TCP --DPORT 443 -J DNAT --To-Destination 192.168.1.120: 443 -Un post-artoutage -S 192.168.1.0/24 ! -D 192.168.1.0/24 -J Masquerade
Ensuite, redémarrez UFW avec la commande suivante:
# UFW Disable # UFW Activer
Ensuite, vous devrez également autoriser le port 80 et 443. Vous pouvez le faire en exécutant la commande suivante:
# UFW Autoriser Proto TCP de n'importe quel à 150.129.148.155 Port 80 # UFW Autoriser Proto TCP de n'importe quel à 150.129.148.155 Port 443
Tutoriels Linux connexes:
- Choses à installer sur Ubuntu 20.04
- Choses à faire après l'installation d'Ubuntu 20.04 Focal Fossa Linux
- Choses à installer sur Ubuntu 22.04
- Une introduction à l'automatisation Linux, des outils et des techniques
- Comment ping adresse IPv6 sur Linux
- Choses à faire après l'installation d'Ubuntu 22.04 Jammy Jellyfish…
- Ubuntu 20.04 Guide
- Ubuntu 20.04 astuces et choses que vous ne savez peut-être pas
- Téléchargement Linux
- Comment SSH à l'adresse IPv6 sur Linux
- « Gardez votre / la maison en sécurité avec les sauvegardes cron
- Comment overclocker votre processeur AMD Ryzen sur Linux »