Comment configurer le pare-feu UFW sous Linux

Comment configurer le pare-feu UFW sous Linux

Découvrez comment activer et configurer facilement le pare-feu UFW sous Linux, en suivant des étapes simples pour garantir la sécurité de votre système.

UFW signifie en réalité pare-feu simple et non pare-feu Ubuntu comme beaucoup de gens le croient. Ce nom reflète le fait qu'il est étonnamment facile à configurer. La plupart des utilisateurs n'auront besoin de régler littéralement que trois options avant d'être relativement en sécurité. Ceux qui souhaitent définir certaines options de configuration avancées n'auront pas à faire grand-chose au-delà de l'édition d'un fichier texte. Bien que les développeurs du projet Ubuntu aient à l'origine conçu ce logiciel de pare-feu particulier, ufw est également disponible dans de nombreuses autres distributions. Les utilisateurs de Debian, Arch, Linux Mint, Lubuntu et Xubuntu ont très probablement déjà installé cette application.

Le problème est que relativement peu d'utilisateurs l'ont activée. Bien que les utilisateurs n'aient plus à travailler directement avec iptables, Ubuntu force ufw à se trouver par défaut dans un état désactivé. De nombreuses implémentations de Debian n'ont même pas les paquets installés par défaut. La bonne nouvelle est que quiconque ayant un minimum d'expérience terminal peut renforcer son système.

Méthode 1 : Activer UFW depuis le terminal

Assurez-vous que le paquet ufw est installé avant d'essayer de l'installer séparément. Exécutez ces commandes avant toute autre chose. Si vous rencontrez des erreurs en cours de route, vous pouvez toujours revenir et installer les paquets ufw ultérieurement sans problème.

Si vous travaillez depuis un compte utilisateur standard, exécutez sudo ufw enable et tapez votre mot de passe administrateur si cela vous est demandé. Vous devriez être informé qu'ufw est activé et s'exécutera automatiquement au démarrage. Exécutez sudo ufw status tout de même juste pour être sûr. Vous devriez obtenir une seule ligne de sortie indiquant "Statut : actif" sans rien après.

D'autre part, il se peut que l'on vous ait dit qu'ufw n'est pas installé. Les utilisateurs de distributions basées sur apt comme Debian doivent exécuter sudo apt-get install ufw. Vous voudrez peut-être exécuter sudo apt-get update puis sudo apt-get upgrade pour vous assurer que vos autres paquets sont à jour lors de l'installation. Les utilisateurs d'Arch Linux devront exécuter sudo pacman -Syu s'ils veulent que leurs paquets soient à jour, puis sudo pacman -S ufw pour installer ufw, mais tous les utilisateurs peuvent continuer normalement par la suite. Suivez les étapes ci-dessus et assurez-vous que l'exécution de sudo ufw enable retourne la ligne "Statut : actif" mentionnée précédemment.

Méthode 2 : Envoyer un ensemble de règles de base à UFW

Les outils de pare-feu utilisent un ensemble de règles pour vérifier s'il faut accepter un paquet envoyé à votre ordinateur via un réseau. Vous voudrez presque certainement exécuter ces deux commandes ensuite :

sudo ufw default allow outgoing

sudo ufw default deny incoming

Cela garantit qu'ufw vous permet toujours d'envoyer du trafic sortant vers votre adaptateur réseau, ce qui est important si vous travaillez en ligne. Naturellement, vous ne devriez considérer aucune demande sortante comme dangereuse. Cela interdit également les demandes entrantes de causer des dommages, ce qui est le bon réglage pour presque tous les utilisateurs domestiques et professionnels. Même la plupart des joueurs jouant à des titres FPS en ligne intensifs n'ont pas besoin de plus que cela. La plupart des gens peuvent s'arrêter ici tant que l'exécution de sudo ufw status retourne toujours un message activé même après que vous ayez redémarré la machine. Il n'y a pas beaucoup d'autre chose dans le processus de configuration. Les utilisateurs ayant des objectifs de ssh ou de mise en réseau avancée doivent aller plus loin.

Méthode 3 : Options de configuration avancées UFW

La plupart des utilisateurs n'auront pas besoin de lire plus loin, mais ces règles pourraient être utiles pour certains. Par exemple, si vous devez autoriser les connexions TCP sur le port commun 80, vous pouvez exécuter :

sudo ufw allow 80/tcp

Vous pourriez également utiliser sudo ufw allow from ###.##.##.##/## avec une adresse IP réelle et un numéro de sous-réseau réel après la barre oblique. Gardez à l'esprit que 80 est un numéro valide pour cette utilisation si vous devez effectuer de la mise en réseau dessus. Utiliser quelque chose comme sudo ufw allow http/tcp est également valide et peut être nécessaire dans une situation de serveur, mais cela commence à ouvrir la boîte de Pandore en termes de permission de différents types de connexions.

L'un des réglages les plus populaires est sudo ufw allow 22, qui ouvre le port pour les connexions SSH. Certains utilisateurs le formulent plutôt comme sudo ufw allow ssh, ce qui fonctionne tout aussi bien. Bien que certains guides puissent vous instruire d'ajouter les deux lignes,

Ceci est inutile dans la majorité des cas et peut simplement contribuer à une quantité excessive de surcharge au final.

Lorsque vous souhaitez supprimer l'une de vos règles à l'avenir, vous pouvez simplement exécuter sudo ufw delete suivi du nom de la règle. Par exemple, sudo ufw delete allow 80/tcp désactiverait l'un des exemples que nous avons faits ci-dessus.

Maintenant, lorsque vous exécutez sudo ufw status verbose, vous pourriez voir un tableau beaucoup plus complet si vous avez créé des règles supplémentaires. Si jamais vous souhaitez désactiver le pare-feu à l'avenir, vous pourriez exécuter sudo ufw disable, mais il y a très peu de situations où vous auriez besoin de le faire.

Occasionnellement, vous pourriez constater que vous obtenez des erreurs de 504 gateway time-out si vous utilisez ufw de cette manière pour protéger un serveur. Changer l'ordre de quelques règles pourrait aider si c'est le cas. Les règles d'autorisation doivent être saisies avant les règles de refus, car ufw recherche toujours la première correspondance lors de l'analyse de votre liste pour des raisons de sécurité. Supprimer une paire de règles et les ajouter de nouveau en tapant la ligne sudo ufw default allow en premier devrait résoudre ce problème. Vous pourriez également vouloir supprimer toute ligne dupliquée pour des raisons de performance.

Exécutez sudo ufw verbose et faites attention à l'ordre dans lequel vos lignes DENY IN et ALLOW IN sont. Si vous avez quelque chose sur un port commun comme 80 ou 22 qui lit DENY IN suivi de Anywhere sur le graphique avant d'autres références à ces ports, alors vous pourriez tenter de bloquer des connexions avant qu'elles aient une chance de passer. Les réorganiser résoudra le problème. Mettre ces commandes dans le bon ordre dès le départ aidera à prévenir les problèmes plus tard.

Les utilisateurs avec un prompt root élevé n'auront en fait pas besoin d'utiliser sudo avant chaque commande. Si vous avez reçu une sorte d'erreur à ce sujet, cela pourrait être votre problème. Vérifiez la fin de votre invite pour voir si vous avez un # ou $ avant votre curseur. Les utilisateurs de tcsh qui n'ont qu'un % pour un prompt devraient exécuter whoami pour voir sous quel utilisateur ils opèrent.

Les utilisateurs réguliers qui exécutent sudo ufw status verbose recevront probablement encore très peu de retour après leur invite. Vous verrez probablement simplement la même ligne que précédemment.

Cela est dû au fait que ces utilisateurs travaillent simplement avec très peu de règles. Un mot de mise en garde peut cependant être important concernant ces règles. Bien que la commande ufw default vous permette également d'utiliser le paramètre reject, vous pouvez très facilement vous verrouiller hors de votre propre structure de serveur privé ou faire d'autres choses étranges. Si vous devez avoir une ligne sudo ufw allow ssh ou d'autres lignes similaires dans votre ensemble de règles, cela doit venir avant que vous appliquiez des règles de rejet ou de refus par défaut.

Bien que certains outils graphiques existent comme Gufw et le kmyfirewall basé sur Qt, il est suffisamment facile de configurer ufw depuis la ligne de commande que vous n'en aurez en réalité pas besoin. Si vous avez besoin de modifier les fichiers de configuration directement, utilisez la commande pour vous déplacer dans le bon répertoire, puis utilisez sudo nanofw pour l'éditer. Vous pourriez également vouloir initialement utiliser plus ufw ou moins ufw pour simplement afficher le texte d'abord avant de faire des changements.

Les développeurs ont en fait pris le temps de fournir des commentaires appropriés afin que vous ne vous perdiez pas en l'éditant, bien que vous puissiez souhaiter les supprimer si vous en ressentez le besoin.

Maintenant que tu as fini de lire Comment configurer le pare-feu UFW sous Linux, nous t'invitons à explorer davantage la catégorie Linux. Tu y trouveras d'autres articles intéressants qui élargiront tes connaissances et te tiendront informé. Ne cesse pas de lire et de découvrir plus!

Index
  1. Méthode 1 : Activer UFW depuis le terminal
  2. Méthode 2 : Envoyer un ensemble de règles de base à UFW
  3. Méthode 3 : Options de configuration avancées UFW

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Go up