Sécurité

Comment configurer un pare-feu avec UFW sur Ubuntu & Debian

Comment configurer un pare-feu avec UFW sur Ubuntu & Debian

UFW (pare-feu simple) est un utilitaire de ligne de commande frontal pour gérer iptables Règles sur un système Linux. Il fournit une commande console conviviale et facile à gérer ainsi qu'une interface GUI pour les systèmes de bureau. Il est conçu pour fournir des pare-feu faciles à gérer, même si l'utilisateur n'a pas beaucoup d'idées sur les pare-feu. L'UFW vise à fournir des commandes faciles (compliquées) (bien qu'elle ait des interfaces graphiques disponibles) pour les utilisateurs.

Ce tutoriel vous aidera à configurer un pare-feu avec UFW Sur les systèmes Ubuntu et Debian Linux. Commençons par l'installation d'UFW sur votre système.

Comment installer un pare-feu UFW

L'Ubuntu et d'autres systèmes basés à Debian sont expédiés avec UFW par défaut. Dans le cas où il n'est pas installé, exécutez la commande suivante pour installer UFW. S'il est déjà installé, la commande mettra à niveau UFW vers la dernière version.

Ouvrez un terminal et type:

Mise à jour Sudo Apt  sudo apt install ufw

Cela installera ou mettra à jour les packages de pare-feu UFW sur vos systèmes Ubuntu, Debian ou Arch Linux.

Comment activer / désactiver le pare-feu UFW

Par défaut, UFW est un état inactif sur la plupart des systèmes Debian. Utilisez donc la commande suivante pour activer UFW:

Activer UFW

sudo ufw activer

Pour désactiver l'UFW, vous pouvez utiliser la commande suivante.

Désactiver UFW

Sudo UFW Désactiver

Vérifier l'état UFW

Assurez-vous maintenant que UFW est dans un état actif en exécutant la commande suivante.

Statut sudo ufw Statut: actif à l'action de - ------ ---- 22 Autoriser n'importe où 22 (V6) Autoriser n'importe où (V6)

Activer / désactiver IPv6

Vous pourriez être nécessaire d'utiliser IPv6 avec votre pare-feu. Désactiver la prise en charge IPv6 si votre système n'est pas configuré pour utiliser IPv6. Pour le faire, modifier / etc / par défaut / ufw et définir IPv6 «oui» ou «non».

Ipv6 = non

Après avoir apporté les modifications à désactiver et à permettre au pare-feu d'appliquer les modifications.

sudo ufw Disable && sudo ufw activer

Autoriser les connexions avec UFW

Voici quelques exemples d'autoriser des ports spécifiques avec la commande UFW.

  • Autoriser des ports spécifiques - Pour permettre un seul port, par exemple, autorisez le port 21 (FTP), 80 (HTTP) et 443 (HTTPS).
    sudo ufw autoriser 21 / TCP  sudo ufw autorise 80 / TCP  Sudo UFW Autoriser 443 / TCP
  • Autoriser des services spécifiques - UFW utilise / etc / services Fichiers pour obtenir un port de service spécifique, afin que nous puissions autoriser tout service avec un nom au lieu de définir le port. Comme FTP (21), HTTP (80).
    sudo ufw autoriser FTP / TCP  sudo ufw autorise HTTP / TCP  sudo ufw autorise HTTPS / TCP
  • Autoriser la plage de port - Nous pouvons également permettre une plage de ports dans une commande unique comme:
    sudo ufw autorise 1100-1200 / TCP
  • Autoriser l'accès à une adresse IP spécifique - Pour autoriser les connexions à partir d'adresse IP spécifique, utilisez la commande suivante.
    sudo ufw autoriser à partir de 192.168.1.100
  • Autoriser l'accès au sous-réseau - Pour autoriser les connexions à partir de toute adresse IP du sous-réseau Utiliser la commande suivante.
    sudo ufw autoriser à partir de 192.168.1.0/24
  • Autoriser IP à un port spécifique - Pour autoriser les connexions à partir de toute adresse IP du sous-réseau Utiliser la commande suivante.
    sudo ufw autoriser à partir de 192.168.1.100 à n'importe quel port 22

Nier les règles avec UFW

  • Nier les ports spécifiques - Pour permettre un seul port, par exemple, autorisez le port 21 (FTP), 80 (HTTP) et 443 (HTTPS).
    sudo ufw nier 21 / TCP  sudo ufw nier 80 / TCP  sudo ufw nier 443 / TCP
  • Nier la gamme de ports - Nous pouvons également permettre une plage de ports dans une commande unique comme:
    sudo ufw nier 1100-1200 / TCP
  • Refuser l'accès à une propriété intellectuelle spécifique - Pour refuser les connexions à partir de l'adresse IP spécifique, utilisez la commande suivante.
    sudo ufw nie de 192.168.1.100
  • Refuser l'accès au sous-réseau - Pour refuser les connexions à partir de toute adresse IP du sous-réseau utilisez la commande suivante.
    sudo ufw nie de 192.168.1.0/24
  • Refuser IP à un port spécifique -Pour refuser les connexions à partir de toute adresse IP du sous-réseau utilisez la commande suivante.
    sudo ufw autoriser à partir de 192.168.1.100 à n'importe quel port 22

Activer ou désactiver la journalisation

UFW a créé des journaux pour toutes les connexions filtrées dans / var / log / ufw.fichier journal. Il peut être utile pour le dépannage de l'utilisation ci-dessous pour activer ou désactiver la journalisation.

Activer la journalisation:

sudo ufw connexion

Désactiver la journalisation:

sudo ufw se déconnecter

Référence: https: // wiki.ubuntu.com / simple