Comment configurer un pare-feu UFW sur Ubuntu et Debian

Un pare-feu correctement fonctionnel est la partie la plus cruciale de la sécurité complète du système Linux. Par défaut, la distribution Debian et Ubuntu est livrée avec un outil de configuration du pare-feu appelé Ufw (Pare-feu simple), est un outil de ligne de commande le plus populaire et le plus facile à utiliser pour configurer et gérer un pare-feu Ubuntu et Debian distribution.

Dans cet article, nous expliquerons comment installer et configurer un Ufw pare-feu Ubuntu et Debian distribution.

Conditions préalables

Avant de commencer cet article, assurez-vous de vous connecter à votre serveur Ubuntu ou Debian avec l'utilisateur sudo ou avec le compte racine. Si vous n'avez pas d'utilisateur sudo, vous pouvez en créer un en utilisant les instructions suivantes en tant qu'utilisateur racine.

# AddUser Nom d'utilisateur # Usermod -ag Sudo Nom d'utilisateur # Su - Nom d'utilisateur $ sudo whoami 

Installez le pare-feu UFW sur Ubuntu et Debian

Le Ufw (Pare-feu simple) doit être installé par défaut dans Ubuntu et Debian, sinon, installez-le en utilisant le gestionnaire de package APT en utilisant la commande suivante.

$ sudo apt install ufw 

Vérifiez le pare-feu UFW

Une fois l'installation terminée, vous pouvez vérifier l'état de l'UFW en tapant.

$ sudo ufw status verbose 

Lors de la première installation, le pare-feu UFW est désactivé par défaut, la sortie sera similaire à ci-dessous.

Statut: inactif 

Activer le pare-feu UFW

Vous pouvez activer ou activer le pare-feu UFW en utilisant la commande suivante, qui devrait charger le pare-feu et lui permet de démarrer sur le démarrage.

$ sudo ufw activer 

Pour désactiver le pare-feu UFW, utilisez la commande suivante, qui décharge le pare-feu et le désactive à partir du démarrage du démarrage.

$ sudo ufw désactiver 

Politiques par défaut UFW

Par défaut, le pare-feu UFW nie toutes les connexions entrantes et n'autorise que toutes les connexions sortantes au serveur. Cela signifie que personne ne peut accéder à votre serveur, sauf si vous ouvrez spécifiquement le port, tandis que tous les services ou applications en cours d'exécution sur votre serveur peuvent être en mesure d'accéder au réseau extérieur.

Les politiques de pare-feu UFW par défaut sont placées dans le / etc / par défaut / ufw fichier et peut être modifié à l'aide de la commande suivante.

$ sudo ufw défaut de refuser le nouveau par défaut $ sudo ufw permettre sortant 

Profils d'application UFW

Lors de l'installation d'un progiciel à l'aide APTE Gestionnaire de packages, il inclura un profil d'application dans / etc / ufw / applications.d répertoire qui définit le service et maintiennent les paramètres UFW.

Vous pouvez répertorier tous les profils d'application disponibles sur votre serveur à l'aide de la commande suivante.

$ sudo ufw Liste des applications 

Selon les installations de logiciels sur votre système, la sortie ressemblera à ce qui suit:

Applications disponibles: Apache Apache Full Apache Secure Cups OpenSSH Postfix Postfix SMTPS Postfix Soumission 

Si vous souhaitez obtenir plus d'informations sur un profil particulier et des règles définies, vous pouvez utiliser la commande suivante.

$ sudo ufw appo 'info' apache ' 

Profil: Apache Titre: serveur Web Description: Apache V2 est la prochaine génération du serveur Web Omniprésent Apache. Ports: 80 / TCP 

Activer IPv6 avec UFW

Si votre serveur est configuré avec Ipv6, Assurez-vous que votre Ufw est configuré avec Ipv6 et Ipv4 soutien. Pour le vérifier, ouvrez le fichier de configuration UFW en utilisant votre éditeur préféré.

$ sudo vi / etc / par défaut / ufw 

Alors assurez-vous «IPv6» est réglé sur "Oui" dans le fichier de configuration comme indiqué.

Ipv6 = oui 

Sauvegarder et quitter. Redémarrez ensuite votre pare-feu avec les commandes suivantes:

$ sudo ufw désactiver $ sudo ufw activer 

Autoriser les connexions SSH sur UFW

Si vous avez maintenant activé le pare-feu UFW, il bloquerait toutes les connexions entrantes et si vous êtes connecté à votre serveur sur SSH à partir d'un emplacement distant, vous ne pourrez plus le connecter.

Activons les connexions SSH à notre serveur pour empêcher cela de se produire en utilisant la commande suivante:

$ sudo ufw autoriser SSH 

Si vous utilisez un port SSH personnalisé (par exemple le port 2222), alors vous devez ouvrir ce port sur le pare-feu UFW en utilisant la commande suivante.

$ sudo ufw autoriser 2222 / TCP 

Pour bloquer toutes les connexions SSH Tapez la commande suivante.

$ sudo ufw deny ssh / tcp $ sudo ufw nier 2222 / tcp [si vous utilisez le port ssh personnalisé] 

Activer des ports spécifiques sur UFW

Vous pouvez également ouvrir un port spécifique dans le pare-feu pour permettre les connexions via lui à un certain service. Par exemple, si vous souhaitez configurer un serveur Web qui écoute le port 80 (Http) et 443 (Https) par défaut.

Voici les quelques exemples de la façon d'autoriser les connexions entrantes aux services Apache.

Port ouvert 80 http sur UFW

$ sudo ufw permettre http [par nom de service] $ sudo ufw permettre 80 / tcp [par numéro de port] $ sudo ufw permettre 'apache' [par profil d'application] 

Port ouvert 443 HTTPS sur UFW

$ sudo ufw permettre https $ sudo ufw permettre 443 / tcp $ sudo ufw permettre 'apache sécurisé' 

Autoriser les gammes de ports sur UFW

En supposant que vous avez des applications que vous souhaitez exécuter sur une gamme de ports (5000-5003), vous pouvez ajouter tous ces ports à l'aide de commandes suivantes.

Sudo UFW Autoriser 5000: 5003 / TCP Sudo UFW Autoriser 5000: 5003 / UDP 

Autoriser des adresses IP spécifiques

Si vous souhaitez autoriser les connexions sur tous les ports à partir de l'adresse IP spécifique 192.168.56.1, alors vous devez spécifier avant l'adresse IP.

$ sudo ufw autoriser à partir de 192.168.56.1 

Autoriser des adresses IP spécifiques sur un port spécifique

Pour permettre la connexion sur un port spécifique (par exemple le port 22) de votre machine domestique avec adresse IP de 192.168.56.1, alors vous devez ajouter n'importe quel port et le numéro de port Après l'adresse IP comme indiqué.

$ sudo ufw autoriser à partir de 192.168.56.1 à n'importe quel port 22 

Autoriser les sous-réseaux de réseau vers un port spécifique

Pour permettre des connexions pour des adresses IP particulières allant de 192.168.1.1 pour 192.168.1.254 au port 22 (Ssh), exécutez la commande suivante.

$ sudo ufw autoriser à partir de 192.168.1.0/24 à n'importe quel port 22 

Autoriser une interface réseau spécifique

Pour permettre des connexions à une interface réseau spécifique ETH2 pour un port particulier 22 (Ssh), exécutez la commande suivante.

$ sudo ufw permettre sur Eth2 à n'importe quel port 22 

Nier les connexions sur UFW

Par défaut, toutes les connexions entrantes sont bloquées, sauf si vous avez spécifiquement ouvert la connexion sur UFW. Par exemple, vous avez ouvert les ports 80 et 443 Et votre serveur Web est attaqué par le réseau inconnu 11.12.13.0/24.

Pour bloquer toutes les connexions de ce particulier 11.12.13.0/24 Plage de réseau, vous pouvez utiliser la commande suivante.

$ sudo ufw nier de 11.12.13.0/24 

Si vous souhaitez uniquement bloquer les connexions sur les ports 80 et 443, vous pouvez utiliser les commandes suivantes.

$ sudo ufw nier de 11.12.13.0/24 à n'importe quel port 80 $ sudo ufw nier de 11.12.13.0/24 à n'importe quel port 443 

Supprimer les règles UFW

Il existe 2 façons de supprimer les règles UFW, par numéro de règle et par règle réelle.

Pour supprimer une règle UFW en utilisant numéro de règle, Vous devez d'abord énumérer les règles par des nombres en utilisant la commande suivante.

$ sudo ufw status numérotés 

Échantillon de sortie

Statut: actif à l'action de - ------ ---- [1] 22 / TCP Autoriser n'importe où [2] 80 / TCP permettent n'importe où 

Pour supprimer le numéro de règle 1, Utilisez la commande suivante.

$ sudo ufw supprimer 1 

La deuxième méthode consiste à supprimer une règle en utilisant le règle réelle, Par exemple, pour supprimer une règle, spécifiez le numéro de port avec protocole comme indiqué.

$ sudo ufw supprimer autoriser 22 / TCP 

Règles UFW à sécher

Vous pouvez exécuter toutes les commandes UFW sans apporter de modifications dans le pare-feu système à l'aide du --à sec Flag, cela montre simplement les modifications qui devraient se produire.

$ sudo ufw - rythme run activer 

Réinitialiser le pare-feu UFW

Pour une raison ou l'autre, si vous souhaitez supprimer / réinitialiser toutes les règles de pare-feu, saisissez les commandes suivantes, il reviendra toutes vos modifications et commencera à nouveau.

$ sudo ufw réinitialiser le statut ufw $ sudo 

Fonctionnalité avancée UFW

Le Ufw Le pare-feu peut réussir à faire tout ce que fait iptables. Cela peut être fait avec différents ensembles de fichiers de règles, qui ne sont rien, mais simples iptables-restore fichiers texte.

Le réglage du pare-feu UFW ou l'ajout de commandes iptables supplémentaires ne sont pas autorisés via la commande UFW, est juste une question de modification des fichiers texte suivants

• / etc / par défaut / ufw: Le fichier de configuration principal avec des règles prédéfinies.
• / etc / ufw / avant [6].règles: Dans ce fichier, les règles sont calculées avant d'ajouter via la commande UFW.
• / etc / ufw / après [6].règles: Dans ce fichier, les règles sont calculées après l'ajout via la commande UFW.
• / etc / ufw / sysctl.confli: Ce fichier est utilisé pour régler le réseau de noyau.
• / etc / ufw / ufw.confli: Ce fichier activait l'UFW sur le démarrage.

C'est ça! Ufw est un excellent frontal à iptables avec une interface conviviale pour définir des règles complexes avec une seule commande UFW.

Si vous avez des questions ou des pensées à partager sur cet article UFW, utilisez le formulaire de commentaire ci-dessous pour nous joindre.