Comment installer UFW et l'utiliser pour configurer un pare-feu de base

Objectif

Bases UFW, y compris l'installation UFW et la configuration d'un pare-feu de base.

Distribution

Debian et Ubuntu

Exigences

Une installation de Debian ou Ubuntu en travail avec des privilèges racine

Conventions

• # - Exige que la commande Linux soit exécutée avec des privilèges racine soit directement en tant qu'utilisateur racine, soit par l'utilisation de Sudo commande
• $ - Étant donné la commande Linux à exécuter en tant qu'utilisateur non privilégié régulier

Introduction

La mise en place d'un pare-feu peut être une énorme douleur. Iptables n'est pas exactement connu pour sa syntaxe amicale, et la gestion n'est pas beaucoup mieux. Heureusement, UFW rend le processus beaucoup plus supportable avec une syntaxe simplifiée et des outils de gestion faciles.

UFW vous permet d'écrire vos règles de pare-feu plus comme des phrases simples ou des commandes traditionnelles. Il vous permet de gérer votre pare-feu comme tout autre service. Cela vous évite même de se souvenir des numéros de port communs.

Installer UFW

Commencez par installer UFW. Il est disponible dans les référentiels de Debian et Ubuntu.

$ sudo apt install ufw

Définissez vos valeurs par défaut

Comme avec iptables, il est préférable de commencer par définir votre comportement par défaut. Sur les ordinateurs de bureau, vous voulez probablement nier le trafic entrant et autoriser les connexions provenant de votre ordinateur.

$ sudo ufw par défaut nier entrant

La syntaxe pour permettre le trafic est similaire.

$ sudo ufw par défaut permettre sortant

Utilisation de base

Maintenant, vous êtes configuré et prêt à commencer à établir des règles et à gérer votre pare-feu. Ces commandes devraient toutes se sentir faciles à lire.

Démarrage et arrêt

Vous pouvez utiliser SystemD pour contrôler l'UFW, mais il a ses propres contrôles qui sont plus faciles. Commencez par activer et démarrer UFW.

$ sudo ufw activer

Maintenant l'arrête. Cela le désactive simultanément pendant le démarrage.

$ sudo ufw désactiver

Lorsque vous souhaitez vérifier si UFW est en cours d'exécution et quelles règles sont actives, vous pouvez.

$ sudo ufw statut

Commandes

Commencez par une commande de base. Autoriser le trafic HTTP entrant. Ceci est nécessaire si vous souhaitez consulter un site Web ou télécharger quoi que ce soit depuis Internet.

$ sudo ufw autoriser http

Essayez-le à nouveau avec ssh. Encore une fois, c'est super commun.

$ sudo ufw autoriser SSH

Vous pouvez faire exactement la même chose en utilisant des numéros de port, si vous les connaissez. Cette commande permet un trafic HTTPS entrant.

$ sudo ufw autoriser 443

Vous pouvez également autoriser le trafic à partir d'une adresse IP spécifique ou d'une gamme d'adresses. Dites que vous souhaitez autoriser tout le trafic local, vous utiliseriez une commande comme celle ci-dessous.

$ sudo ufw permettre 192.168.1.0/24

Si vous devez autoriser une gamme entière de ports, comme pour l'utilisation de déluge, vous pouvez le faire aussi. Lorsque vous le ferez, cependant, vous devrez spécifier TCP ou UDP.

$ sudo ufw permettez 56881: 56889 / TCP

Bien sûr, cela va dans les deux sens. Utiliser refuser au lieu de permettre pour l'effet inverse.

$ sudo ufw nier 192.168.1.110

Vous devez également savoir que toutes les commandes jusqu'à présent ne contrôlent que le trafic entrant. Pour cibler spécifiquement les connexions sortantes, incluez dehors.

$ sudo ufw permettre à SSH

Configuration d'un bureau

Si vous êtes intéressé à configurer un pare-feu de base sur votre bureau, c'est un bon point de départ. Ce n'est qu'un exemple, donc ce n'est certainement pas universel, mais cela devrait vous donner quelque chose à travailler.

Commencez par définir les valeurs par défaut.

$ sudo ufw défaut de refuser le nouveau par défaut $ sudo ufw permettre sortant

Ensuite, permettez le trafic HTTP et HTTPS.

$ sudo ufw permettre http $ sudo ufw autoriser https

Vous allez probablement vouloir aussi SSH, alors permettez que.

$ sudo ufw autoriser SSH

La plupart des ordinateurs de bureau reposent sur NTP pour l'heure du système. Laissez ça aussi.

$ sudo ufw autoriser le ntp

Sauf si vous utilisez une IP statique, autorisez DHCP. Ce sont les ports 67 et 68.

$ sudo ufw permettez 67: 68 / TCP

Vous allez certainement aussi avoir besoin du trafic DNS pour passer aussi. Sinon, vous ne pourrez pas accéder quoi que ce soit avec son URL. Le port pour DNS est de 53.

$ sudo ufw autoriser 53

Si vous prévoyez d'utiliser un client torrent, comme déluge, activez ce trafic.

$ sudo ufw permettez 56881: 56889 / TCP

La vapeur est une douleur. Il utilise une charge de ports. Ce sont ceux dont vous avez besoin pour permettre.

$ sudo ufw permettre 27000: 27036 / udp $ sudo ufw permettre 27036: 27037 / tcp $ sudo ufw permettre 4380 / udp

Configuration d'un serveur Web

Les serveurs Web sont un autre cas d'utilisation très courant pour un pare-feu. Vous avez besoin de quelque chose pour fermer tout le trafic des ordures et les acteurs malveillants avant de devenir un vrai problème. En même temps, vous devez vous assurer que tout votre trafic légitime passe par des.

Pour un serveur, vous voudrez peut-être resserrer les choses davantage en refusant tout par défaut. Désactivez le pare-feu avant de faire cela, ou il coupera vos connexions SSH.

$ sudo ufw par défaut refuser entrant $ sudo ufw par défaut de refuser sortant $ sudo ufw par défaut refaire la transmission

Activer le trafic Web entrant et sortant.

$ sudo ufw permettre http $ sudo ufw autoriser http $ sudo ufw permettre https $ sudo ufw autoriser https

Autoriser SSH. Vous en aurez certainement besoin.

$ sudo ufw permettre ssh $ sudo ufw autoriser SSH

Votre serveur utilise probablement NTP pour garder l'horloge système. Tu devrais aussi le permettre.

$ sudo ufw autoriser le ntp $ sudo ufw autoriser le ntp

Vous aurez également besoin de DNS pour les mises à jour de votre serveur.

$ sudo ufw autoriser 53 $ sudo ufw autoriser 53

Réflexions de clôture

À ce jour, vous devriez avoir une bonne compréhension de la façon d'utiliser UFW pour les tâches de base. Il ne faut pas beaucoup pour configurer votre pare-feu avec UFW, et cela peut vraiment aider à sécuriser votre système. UFW, bien qu'il soit simple, est absolument prêt pour les heures de grande écoute en production. C'est juste une couche sur les iptables, donc vous obtenez la même sécurité de qualité.

Tutoriels Linux connexes:

• Choses à installer sur Ubuntu 20.04
• Une introduction à l'automatisation Linux, des outils et des techniques
• Choses à faire après l'installation d'Ubuntu 20.04 Focal Fossa Linux
• Masterring Bash Script Loops
• Mint 20: Mieux que Ubuntu et Microsoft Windows?
• Ubuntu 20.04 astuces et choses que vous ne savez peut-être pas
• Ubuntu 20.04 Guide
• Choses à installer sur Ubuntu 22.04
• Commandes Linux: les 20 meilleures commandes les plus importantes que vous devez…
• Téléchargement Linux