Comment configurer le pare-feu intégré d’Ubuntu

Résumé

Dans cet article, nous explorerons comment configurer le pare-feu intégré d’Ubuntu à l’aide de l’UFW (pare-feu simple) et GUFW (frontal graphique pour UFW). Nous discuterons du pare-feu préinstallé à Ubuntu, comment l’activer et comment travailler avec des règles pour permettre ou refuser un trafic spécifique. De plus, nous couvrirons les profils d’application et comment ils peuvent simplifier le processus de configuration du pare-feu.

Points clés

1. Ubuntu est livré avec un pare-feu préinstallé connu sous le nom d’UFW (pare-feu simple).

2. UFW est un frontage pour les commandes Linux Iptables standard.

3. GUFW est un frontal graphique pour UFW, ce qui facilite la configuration des utilisateurs normaux.

4. Le pare-feu est désactivé par défaut dans Ubuntu.

5. Pour activer le pare-feu, exécutez la commande “sudo ufw activer” dans le terminal.

6. Des règles peuvent être ajoutées pour autoriser ou refuser des types de trafic spécifiques.

7. Exemples de commandes pour permettre le trafic SSH sur le port 22:

• “Sudo UFW Autorise 22” (permet le trafic TCP et UDP, pas idéal si UDP n’est pas nécessaire)
• “Sudo UFW Autoriser 22 / TCP” (ne permet que le trafic TCP sur le port 22)
• “Sudo UFW Autoriser SSH” (vérifie le fichier / etc / services pour le port SSH requiert et le permet)

8. Les règles peuvent être définies pour le trafic entrant et sortant.

9. Les règles peuvent être affichées à l’aide de la commande “Sudo UFW Status”.

dix. Les règles peuvent être supprimées à l’aide de la commande “sudo ufw supprimer [règle]”.

11. Le pare-feu peut être réinitialisé à son état par défaut en utilisant la commande “sudo ufw réinitialisation”.

12. UFW prend en charge les profils d’application pour une configuration plus facile.

13. Les profils d’application peuvent être répertoriés à l’aide de la commande “Liste d’application Sudo UFW”.

14. Des informations supplémentaires sur un profil d’application spécifique peuvent être obtenues à l’aide de la commande “Sudo UFW App Info [Nom]”.

Questions et réponses

1. Y a-t-il un pare-feu préinstallé ou automatique à Ubuntu? Ai-je besoin d’un?

Oui, Ubuntu est livré avec un pare-feu préinstallé connu sous le nom d’UFW (pare-feu simple). Alors que Linux est généralement considéré comme plus sûr que les autres systèmes d’exploitation, avoir un pare-feu est toujours important pour protéger votre système contre l’accès non autorisé.

2. Qu’est-ce que UFW et GUFW?

UFW est un frontage pour les commandes Linux Iptables standard, et il permet une configuration plus facile du pare-feu. GuFW, en revanche, est un frontal graphique pour UFW, le rendant plus convivial pour les utilisateurs normaux.

3. Comment puis-je activer le pare-feu?

Pour activer le pare-feu à Ubuntu, ouvrez le terminal et exécutez la commande “sudo ufw activer”. Cela activera le pare-feu et commencera à appliquer les règles configurées.

4. Comment puis-je ajouter des règles pour permettre un trafic spécifique?

Vous pouvez ajouter des règles pour autoriser un trafic spécifique à l’aide de la commande “Sudo UFW Autoriser [Port / Protocole]”. Par exemple, pour permettre le trafic SSH sur le port 22, vous pouvez exécuter la commande “sudo ufw autoriser 22” ou “sudo ufw permettre ssh”.

5. Puis-je voir les règles que j’ai créées?

Oui, vous pouvez afficher les règles que vous avez créées en exécutant la commande “Sudo UFW Status” dans le terminal. Cela affichera une liste des règles actives.

6. Comment puis-je supprimer une règle?

Pour supprimer une règle, utilisez la commande “sudo ufw supprimer [règle]”. Par exemple, pour arrêter de rejeter le trafic SSH sortant, vous exécuteriez “Sudo UFW Delete Reject Out SSH”.

7. Existe-t-il un moyen de réinitialiser le pare-feu à son état par défaut?

Oui, vous pouvez réinitialiser le pare-feu à son état par défaut en exécutant la commande “sudo ufw reset”. Cela supprimera toutes les règles et paramètres que vous avez configurés.

8. Quels sont les profils d’application?

Les profils d’application sont des configurations prédéfinies qui permettent une configuration plus facile du pare-feu pour des applications spécifiques. Vous pouvez répertorier les profils d’application disponibles à l’aide de la commande “Liste d’application Sudo UFW”.

9. Comment puis-je obtenir plus d’informations sur un profil d’application spécifique?

Pour obtenir plus d’informations sur un profil d’application spécifique, utilisez la commande “Sudo UFW App Ino [Nom]”. Cela fournira des détails sur le profil et ses règles incluses.

dix. Comment nier le trafic spécifique?

Pour refuser un trafic spécifique, vous pouvez utiliser la commande “sudo ufw nier [port / protocole]”. Par exemple, pour refuser le trafic TCP d’une adresse IP spécifique au port 22, vous exécuteriez “Sudo UFW Deny Proto TCP de [IP] à n’importe quel port 22”.

11. Le pare-feu peut-il être géré via une interface graphique?

Oui, le pare-feu peut être géré via une interface graphique à l’aide de GUFW, la frontale graphique pour UFW. Il fournit un moyen convivial de configurer le pare-feu.

12. Le pare-feu est-il en cours d’exécution par défaut, même s’il se manifeste comme désactivé dans Gufw?

Oui, le pare-feu est en cours d’exécution par défaut dans Ubuntu, même si elle se manifeste comme désactivée dans Gufw. Le message Activer / Désactiver dans GUFW fait référence aux règles définies avec UFW, et non au statut réel du pare-feu.

13. Comment puis-je vérifier si le pare-feu fonctionne?

Vous pouvez vérifier si le pare-feu s’exécute en exécutant la commande “sudo iptables – list –verbose” dans le terminal. Cela montrera les règles du pare-feu et confirmera que le pare-feu est actif.

14. Puis-je configurer les règles du pare-feu sans activer d’abord le pare-feu?

Oui, vous pouvez configurer les règles du pare-feu sans activer le pare-feu. Vous pouvez ajouter des règles pendant que le pare-feu est hors ligne, puis l’activer après avoir terminé la configuration des règles.

15. Puis-je configurer des règles complexes avec UFW?

Oui, UFW prend en charge les règles complexes. Par exemple, vous pouvez refuser le trafic d’une adresse IP spécifique à un port spécifique en utilisant la commande “Sudo UFW Deny Proto TCP de [IP] vers n’importe quel port [port]”. Cela permet un contrôle à grains fins sur le trafic autorisé ou refusé par le pare-feu.

Comment configurer Ubuntu’S pare-feu intégré

De cette façon, vous bloquerez tout le trafic de 192.168.100.20 du port 53 en utilisant le protocole UDP, qui est généralement réservé à un service DNS.

Y a-t-il un pare-feu préinstallé ou automatique?

Ubuntu est-il livré avec un pare-feu préinstallé ou automatique? Sinon, ai-je besoin d’un? J’ai lu quelques articles sur les avantages de Linux par rapport à d’autres systèmes d’exploitation sur la sécurité (pas besoin d’avoir un antivirus, . ) mais aimerait être sûr.

68.8K 55 55 Badges d’or 214 214 Badges en argent 325 325 Badges en bronze

a demandé le 24 octobre 2010 à 14h55

Pedroo Pedroo

5 réponses 5

Ubuntu a un pare-feu inclus dans le noyau et fonctionne par défaut. Ce dont vous avez besoin pour gérer ce pare-feu est le iptables. Mais cela est compliqué à gérer, vous pouvez donc utiliser UFW (pare-feu simple) pour les configurer. Mais UFW est toujours quelque chose de difficile pour les utilisateurs normaux, donc ce que vous pouvez faire est d’installer Gufw C’est juste un frontal graphique pour UFW.

Si vous utilisez Gufw, la première fois que vous verrez en bas de la fenêtre “ Pare-feu handicapé ”. Mais ce n’est pas vrai, votre pare-feu est déjà en cours d’exécution. Ce message d’activation / désactiver fait référence aux règles définies avec UFW, pas au pare-feu.

Si vous ne me croyez pas, ouvrez un terminal et écrivez

sudo iptables - list --verbose 

Essayez ceci avec Gufw activé et désactivé. Vous verrez que la seule diffère sera les règles que vous définissez avec Gufw.

Comment configurer Ubuntu’S pare-feu intégré

Chris Hoffman

Chris Hoffman
Éditeur en chef

Chris Hoffman est rédacteur en chef de Gow-To Geek. Il écrit sur la technologie depuis plus d’une décennie et a été chroniqueur PCWorld pendant deux ans. Chris a écrit pour Le New York Times et Reader’s Digest, été interviewé en tant qu’expert technologique dans des chaînes de télévision comme NBC 6 de Miami, et a fait couvert son travail par des médias comme la BBC. Depuis 2011, Chris a écrit plus de 2 000 articles qui ont été lus plus d’un milliard de fois – et c’est juste ici chez Gower-To Geek. En savoir plus.

Mise à jour du 10 juillet 2017, 16 h 11 HAE | 2 min Lire

Ubuntu comprend son propre pare-feu, connu sous le nom de UFW – abréviation pour “pare-feu simple.” UFW est un frontend plus facile à utiliser pour les commandes Linux Iptables standard. Vous pouvez même contrôler UFW à partir d’une interface graphique. Ubuntu’Le pare-feu S est conçu comme un moyen facile d’effectuer des tâches de pare-feu de base sans apprendre les iptables. C’est pas ca’t offrant toute la puissance des commandes iptables standard, mais’est moins complexe.

Utilisation du terminal

Le pare-feu est désactivé par défaut. Pour activer le pare-feu, exécutez la commande suivante à partir d’un terminal:

sudo ufw activer

Tu ne fais pas’T doit nécessairement activer le pare-feu d’abord. Vous pouvez ajouter des règles pendant que le pare-feu est hors ligne, puis l’activer après vous’Re fait la configuration de sa configuration.

Travailler avec les règles

Laisser’s dis que vous voulez autoriser le trafic SSH sur le port 22. Pour ce faire, vous pouvez exécuter l’une des nombreuses commandes:

Sudo UFW Autorise 22 (permet le trafic TCP et UDP – pas idéal si UDP ISN’t nécessaire.) sudo ufw autoriser 22 / TCP (ne permet que le trafic TCP sur ce port.) sudo ufw autorise SSH (vérifie le fichier / etc / services de votre système pour le port dont SSH a besoin et lui permet. De nombreux services communs sont répertoriés dans ce fichier.)

UFW suppose que vous souhaitez définir la règle pour le trafic entrant, mais vous pouvez également spécifier une direction. Par exemple, pour bloquer le trafic SSH sortant, exécutez la commande suivante:

sudo ufw rejeter ssh

Vous pouvez afficher les règles que vous’Ve créé avec la commande suivante:

Statut sudo ufw

Pour supprimer une règle, ajoutez le mot supprimer avant la règle. Par exemple, pour arrêter de rejeter le trafic SSH sortant, exécutez la commande suivante:

sudo ufw supprimer rejeter ssh

Ufw’La syntaxe S permet des règles assez complexes. Par exemple, cette règle nie le trafic TCP à partir de l’IP 12.34.56.78 au port 22 sur le système local:

sudo ufw nier proto tcp de 12.34.56.78 à n’importe quel port 22

Pour réinitialiser le pare-feu à son état par défaut, exécutez la commande suivante:

sudo ufw réinitialisation

Profils d’application

Certaines applications nécessitant des ports ouverts sont livrés avec des profils UFW pour rendre cela encore plus facile. Pour voir les profils d’application disponibles sur votre système local, exécutez la commande suivante:

Liste des applications Sudo UFW

Afficher les informations sur un profil et ses règles incluses avec la commande suivante:

Nom d’informations sur l’application Sudo UFW

Autoriser un profil d’application avec la commande Autoriser:

Sudo UFW Autoriser le nom

Plus d’information

La journalisation est désactivée par défaut, mais vous pouvez également permettre à la journalisation d’imprimer des messages de pare-feu dans le journal système:

sudo ufw connexion

Pour plus d’informations, exécutez le homme ufw Commande pour lire UFW’S Page manuelle.

Interface graphique GUFW

GuFW est une interface graphique pour UFW. Ubuntu ne fait pas’t Venez avec une interface graphique, mais Gufw est inclus dans Ubuntu’S des référentiels logiciels. Vous pouvez l’installer avec la commande suivante:

sudo apt-get install gufw

GuFW apparaît dans le tableau de bord en tant qu’application nommée configuration de pare-feu. Comme UFW lui-même, GuFW fournit une interface simple et facile à utiliser. Vous pouvez facilement activer ou désactiver le pare-feu, contrôler la stratégie par défaut pour le trafic entrant ou sortant et ajouter des règles.

L’éditeur de règles peut être utilisé pour ajouter des règles simples ou des règles plus compliquées.

Souviens-toi, tu peux’t tout avec UFW – pour des tâches de pare-feu plus compliquées, toi’Je devrai vous salir les mains avec des iptables.

Commandes Linux
Des dossiers	le goudron · PV · chat · tac · chod · grep · difficulté · sed · ardente · homme · pushd · popd · fsck · test de test · som · FD · pandoc · CD · $ Chemin · awk · rejoindre · jq · pli · uniq · journalctl · queue · stat · LS · fstab · écho · moins · chgrp · chown · tour · regarder · cordes · taper · Renommer · zipper · dézipper · monter · umount · installer · fdisk · MKFS · RM · rmdir · rsync · df · GPG · vi · nano · mkdir · du · LN · correctif · convertir · rclone · déchiqueter · SRM · SCP · gzip · bavard · couper · trouver · umask · toilettes · tr
Processus	alias · filtrer · haut · bon · Renice · progrès · se décrocher · systemd · tmux · shirt · histoire · à · grouper · gratuit · qui · dmesg · chfn · usermod · ps · chroot · xargs · tty · petit doigt · lsof · vmstat · temps libre · mur · Oui · tuer · dormir · Sudo · su · temps · groupadd · usermod · groupes · lshw · fermer · redémarrer · arrêt · éteindre · passage · LSCPU · crontab · date · bg · FG · picof · nohup · PMAP
La mise en réseau	netstat · ping-ping · traceroute · IP · SS · qui est · fail2ban · bmon · creuser · doigt · nmap · FTP · boucle · wget · OMS · qui suis je · w · iptables · ssh-keygen · ufw · art · pare-feu

EN RAPPORT: Meilleurs ordinateurs portables Linux pour les développeurs et les passionnés

• › Comment commencer avec Firewalld sur Linux
• › Comment créer votre propre synchronisation de fichiers cloud avec NextCloud
• › Votre mac’Le pare-feu S est désactivé par défaut: avez-vous besoin de l’activer?
• › Samsung Galaxy Z Fold 4 frappe un nouveau prix de tous les temps, plus d’autres offres
• › Profil Sennheiser Revue USB: microphone en streaming solide avec commandes pratiques
• › Vous pouvez maintenant appeler un numéro pour obtenir une balade Uber
• › Amazon révèle un nouveau “Écho pop” et les affichages intelligents mis à jour
• › Comment réparer le “Quelque chose n’a pas fait’t A tel prévu” Erreur dans Windows 11

Chris Hoffman
Chris Hoffman est rédacteur en chef de Gow-To Geek. Il écrit sur la technologie depuis plus d’une décennie et a été chroniqueur PCWorld pendant deux ans. Chris a écrit pour Le New York Times et Reader’s Digest, été interviewé en tant qu’expert technologique dans des chaînes de télévision comme NBC 6 de Miami, et a fait couvert son travail par des médias comme la BBC. Depuis 2011, Chris a écrit plus de 2 000 articles qui ont été lus plus d’un milliard de fois – et c’est juste ici chez Gower-To Geek.
Lire la biographie complète »

Comment configurer un pare-feu avec UFW sur Ubuntu 22.04

UFW, ou pare-feu simple, est une interface de gestion de pare-feu simplifiée qui masque la complexité des technologies de filtrage des paquets de niveau inférieur telles que les iptables et les nftables . Si tu’Vous cherchez à commencer à sécuriser votre réseau, et vous’Je ne sais pas quel outil utiliser, UFW peut être le bon choix pour vous.

Ce tutoriel vous montrera comment configurer un pare-feu avec UFW sur Ubuntu 22.04.

Conditions préalables

Pour suivre ce tutoriel, vous aurez besoin:

• Un Ubuntu 22.04 serveur avec un utilisateur non root sudo, que vous pouvez configurer en suivant notre configuration de serveur initial avec Ubuntu 22.04 tutoriel.

UFW est installé par défaut sur Ubuntu. S’il a été désinstallé pour une raison quelconque, vous pouvez l’installer avec sudo apt install ufw .

Étape 1 – Utilisation d’IPv6 avec UFW (facultatif)

Ce tutoriel est écrit avec IPv4 à l’esprit, mais fonctionnera pour IPv6 ainsi que longtemps que vous l’activez. Si votre serveur Ubuntu a activé IPv6, assurez-vous que UFW est configuré pour prendre en charge IPv6 afin qu’il gère les règles de pare-feu pour IPv6 en plus de IPv4. Pour ce faire, ouvrez la configuration UFW avec Nano ou votre éditeur préféré.

Alors assurez-vous que la valeur de l’IPv6 est oui . Ça devrait ressembler à ça:

/ etc / par défaut / UFW Extrait

Ipv6 =Oui 

Enregistrez et fermez le fichier. Maintenant, lorsque UFW est activé, il sera configuré pour écrire des règles de pare-feu IPv4 et IPv6. Cependant, avant d’activer l’UFW, nous voulons nous assurer que votre pare-feu est configuré pour vous permettre de vous connecter via SSH. Laisser’S Commencez par définir les stratégies par défaut.

Étape 2 – Configuration des stratégies par défaut

Si tu’Remarquez simplement avec votre pare-feu, les premières règles à définir sont vos politiques par défaut. Ces règles contrôlent comment gérer le trafic qui ne correspond explicitement à d’autres règles. Par défaut, UFW est défini pour refuser toutes les connexions entrantes et permettre toutes les connexions sortantes. Cela signifie que toute personne essayant d’atteindre votre serveur ne pourrait pas se connecter, tandis qu’une application au sein du serveur pourrait atteindre le monde extérieur.

Laisser’S Réglez vos règles UFW sur les valeurs par défaut afin que nous puissions être sûrs que vous’pourrai suivre ce tutoriel. Pour définir les valeurs par défaut utilisées par UFW, utilisez ces commandes:

Vous recevrez une sortie comme ce qui suit:

Sortir
La stratégie entrante par défaut est modifiée en `` nier '' (assurez-vous de mettre à jour vos règles en conséquence) La politique sortante par défaut est modifiée en `` autoriser '' (assurez-vous de mettre à jour vos règles en conséquence) 

Ces commandes définissent les valeurs par défaut pour refuser et permettre des connexions sortantes. Ces défauts de pare-feu seul pourraient suffire pour un ordinateur personnel, mais les serveurs doivent généralement répondre aux demandes entrantes des utilisateurs extérieurs. Nous’Je regarde dans ce prochain.

Étape 3 – Autoriser les connexions SSH

Si nous activions notre pare-feu UFW maintenant, cela nierait toutes les connexions entrantes. Cela signifie que nous devrons créer des règles qui permettent explicitement les connexions entrantes légitimes – les connexions SSH ou HTTP, par exemple – si nous voulons que notre serveur réponde à ces types de demandes. Si tu’En utilisant un serveur cloud, vous voudrez probablement autoriser les connexions SSH entrantes afin que vous puissiez vous connecter et gérer votre serveur.

Pour configurer votre serveur pour autoriser les connexions SSH entrantes, vous pouvez utiliser cette commande:

Cela créera des règles de pare-feu qui permettront toutes les connexions du port 22, qui est le port sur lequel le démon SSH écoute par défaut. UFW sait ce que le port autorise SSH parce qu’il’s répertorié comme un service dans le fichier / etc / services.

Cependant, nous pouvons réellement écrire la règle équivalente en spécifiant le port au lieu du nom du service. Par exemple, cette commande fonctionne de la même manière que celle ci-dessus:

Si vous avez configuré votre démon SSH pour utiliser un autre port, vous devrez spécifier le port approprié. Par exemple, si votre serveur SSH écoute sur le port 2222, vous pouvez utiliser cette commande pour autoriser les connexions sur ce port:

Maintenant que votre pare-feu est configuré pour permettre des connexions SSH entrantes, nous pouvons l’activer.

Étape 4 – Permettre à l’UFW

Pour activer UFW, utilisez cette commande:

Vous recevrez un avertissement qui dit que la commande peut perturber les connexions SSH existantes. Vous avez déjà mis en place une règle de pare-feu qui permet les connexions SSH, donc il devrait être bien de continuer. Répondez à l’invite avec Y et appuyez sur Entrée .

Le pare-feu est maintenant actif. Exécutez la commande Verbose de statut sudo sudo pour voir les règles définies. Le reste de ce tutoriel couvre comment utiliser UFW plus en détail, comme permettre ou refuser différents types de connexions.

Étape 5 – Permettre d’autres connexions

À ce stade, vous devez autoriser toutes les autres connexions auxquelles votre serveur doit répondre. Les connexions que vous devez autoriser dépend de vos besoins spécifiques. Heureusement, vous savez déjà comment rédiger des règles qui permettent des connexions en fonction d’un nom ou d’un port de service; Nous l’avons déjà fait pour SSH sur le port 22 . Vous pouvez également le faire pour:

• HTTP sur le port 80, ce que les serveurs Web non cryptés utilisent, en utilisant Sudo UFW, autorisez HTTP ou Sudo UFW à 80
• HTTPS sur le port 443, ce que les serveurs Web cryptés utilisent, en utilisant Sudo UFW, permettez HTTPS ou Sudo UFW autorise 443

Il existe plusieurs autres façons d’autoriser d’autres connexions, en plus de spécifier un port ou un service connu.

GAMMES PORTS SPÉCIFIQUES

Vous pouvez spécifier des plages de port avec UFW. Certaines applications utilisent plusieurs ports, au lieu d’un seul port.

Par exemple, pour permettre aux connexions x11, qui utilisent les ports 6000 – 6007, utilisez ces commandes:

Lorsque vous spécifiez les gammes de ports avec UFW, vous devez spécifier le protocole (TCP ou UDP) à laquelle les règles doivent s’appliquer à. Nous avions’t mentionnés auparavant car ne pas spécifier le protocole permet automatiquement les deux protocoles, ce qui est OK dans la plupart des cas.

Adresses IP spécifiques

Lorsque vous travaillez avec UFW, vous pouvez également spécifier des adresses IP. Par exemple, si vous souhaitez autoriser les connexions à partir d’une adresse IP spécifique, comme une adresse IP de travail ou d’accueil de 203.0.113.4, vous devez spécifier à partir de l’adresse IP:

Vous pouvez également spécifier un port spécifique auquel l’adresse IP est autorisée à se connecter en ajoutant à tout port suivi du numéro de port. Par exemple, si vous souhaitez autoriser 203.0.113.4 Pour se connecter au port 22 (SSH), utilisez cette commande:

Sous-réseaux

Si vous souhaitez autoriser un sous-réseau d’adresses IP, vous pouvez le faire en utilisant la notation CIDR pour spécifier un masque de réseau. Par exemple, si vous souhaitez autoriser toutes les adresses IP allant de 203.0.113.1 à 203.0.113.254 Vous pouvez utiliser cette commande:

De même, vous pouvez également spécifier le port de destination que le sous-réseau 203.0.113.0/24 est autorisé à se connecter à. Encore une fois, nous’LL Utiliser le port 22 (SSH) comme exemple:

Connexions à une interface réseau spécifique

Si vous souhaitez créer une règle de pare-feu qui ne s’applique qu’à une interface réseau spécifique, vous pouvez le faire en spécifiant “permettre” suivi du nom de l’interface réseau.

Vous voudrez peut-être rechercher vos interfaces réseau avant de continuer. Pour ce faire, utilisez cette commande:

Extrait de sortie
2: ENP0S3: MTU 1500 QDISC PFIFO_Fast State . . . 3: ENP0S4: MTU 1500 QDISC NOOP State Down Group Default . . . 

La sortie en surbrillance indique les noms d’interface réseau. Ils sont généralement nommés quelque chose comme ETH0, ENS1 ou ENP3S2 .

Ainsi, si votre serveur a une interface de réseau public appelé ENS3, vous pouvez autoriser le trafic HTTP (port 80) avec cette commande:

Cela permettrait à votre serveur de recevoir des demandes HTTP auprès de l’Internet public.

Ou, si vous souhaitez que votre serveur de base de données MySQL (Port 3306) écoute des connexions sur l’interface réseau privé eth1, par exemple, vous pouvez utiliser cette commande:

Cela permettrait à d’autres serveurs de votre réseau privé de se connecter à votre base de données MySQL.

Étape 6 – refuser les connexions

Si tu as’t a modifié la stratégie par défaut pour les connexions entrantes, UFW est configuré pour nier toutes les connexions entrantes. Généralement, cela simplifie le processus de création d’une stratégie de pare-feu sécurisé en vous obligeant à créer des règles qui permettent explicitement les ports et les adresses IP spécifiques à travers.

Cependant, parfois vous voudrez nier des connexions spécifiques en fonction de l’adresse IP source ou du sous-réseau, peut-être parce que vous savez que votre serveur est attaqué à partir de là. De plus, si vous souhaitez modifier votre politique entrante par défaut permettre (ce qui n’est pas recommandé), vous auriez besoin de créer refuser Règles pour tous les services ou adresses IP que vous ne faites pas’T Je veux autoriser les connexions pour.

Pour écrire refuser Règles, vous pouvez utiliser les commandes décrites ci-dessus, en remplacement permettre avec refuser.

Par exemple, pour nier les connexions HTTP, vous pouvez utiliser cette commande:

Ou si vous souhaitez nier toutes les connexions à partir de 203.0.113.4 Vous pouvez utiliser cette commande:

Maintenant, laisse’s jetez un œil à la façon de supprimer les règles.

Étape 7 – Suppression des règles

Savoir comment supprimer les règles du pare-feu est tout aussi important que de savoir comment les créer. Il existe deux façons différentes de spécifier les règles à supprimer: par numéro de règle ou par la règle réelle (similaire à la façon dont les règles ont été spécifiées lors de leur création). Nous’commencez par le Supprimer par numéro de règle Méthode car c’est plus facile.

Par numéro de règle

Si tu’re utilisez le numéro de règle pour supprimer les règles du pare-feu, la première chose que vous’Je veux faire, c’est obtenir une liste de vos règles de pare-feu. La commande UFW Status a une option pour afficher les numéros à côté de chaque règle, comme démontré ici:

Sortie numérotée:
Statut: actif à l'action de - ------ ---- [1] 22 Autoriser en 15.15.15.0/24 [2] 80 Autoriser n'importe où 

Si vous décidez de supprimer la règle 2, celle qui autorise les connexions du port 80 (HTTP), vous pouvez le spécifier dans une commande UFW Delete comme celle-ci:

Cela montrerait une invite de confirmation puis supprime la règle 2, qui permet des connexions HTTP. Notez que si vous avez activé IPv6, vous souhaitez également supprimer la règle IPv6 correspondante.

Par règle réelle

L’alternative aux numéros de règles est de spécifier la règle réelle pour supprimer. Par exemple, si vous souhaitez supprimer la règle Autoriser HTTP, vous pouvez l’écrire comme ceci:

Vous pouvez également spécifier la règle par permettre 80, plutôt que par le nom du service:

Cette méthode supprimera les règles IPv4 et IPv6, si elles existent.

Étape 8 – Vérification de l’état et des règles de l’UFW

À tout moment, vous pouvez vérifier l’état d’UFW avec cette commande:

Si UFW est désactivé, ce qui est par défaut, vous’Je verrai quelque chose comme ceci:

Sortir
Statut: inactif 

Si UFW est actif, ce qui devrait être si vous suivez l’étape 3, la sortie dira qu’elle’s actif et il répertorie toutes les règles définies. Par exemple, si le pare-feu est défini pour permettre des connexions SSH (port 22) de n’importe où, la sortie peut ressembler à ceci:

Sortir
Statut: journalisation active: sur (faible) par défaut: refuser (entrant), permettre (sortant), refuser (routé) de nouveaux profils: passer à l'action de - ------ ---- 22 / TCP Autoriser n'importe où 22 (v6) Autoriser n'importe où (v6) 

Utilisez la commande d’état si vous souhaitez vérifier comment UFW a configuré le pare-feu.

Étape 9 – Désactivation ou réinitialisation UFW (facultatif)

Si vous décidez que vous ne faites pas’T Je veux utiliser UFW, vous pouvez le désactiver avec cette commande:

Toutes les règles que vous avez créées avec UFW ne seront plus actives. Vous pouvez toujours exécuter Sudo UFW Activer si vous avez besoin de l’activer plus tard.

Si vous avez déjà des règles UFW configurées mais que vous décidez que vous souhaitez recommencer, vous pouvez utiliser la commande de réinitialisation:

Cela désactivera UFW et supprimera toutes les règles qui ont été précédemment définies. Gardez à l’esprit que les politiques par défaut ont gagné’T PASSER À LEURS PARAMENTS D’ORIGINATION, si vous les avez modifiés à un moment donné. Cela devrait vous donner un nouveau départ avec UFW.

Conclusion

Votre pare-feu est désormais configuré pour permettre des connexions SSH (au moins). Assurez-vous d’autoriser toutes les autres connexions entrantes dont votre serveur a besoin, tout en limitant toutes les connexions inutiles, afin que votre serveur soit fonctionnel et sécurisé.

Pour en savoir plus sur les configurations UFW plus courantes, consultez le didacticiel UFW Essentials: Tutoriel des règles et commandes de pare-feu commun.

Merci d’avoir appris avec la communauté DigitalOcean. Consultez nos offres de calculs de calcul, de stockage, de réseautage et de bases de données gérées.

Série de tutoriels: démarrer avec le cloud computing

Ce programme introduit le cloud computing open source à un public général ainsi que les compétences nécessaires pour déployer des applications et des sites Web en toute sécurité au cloud.

Série de parcours: 39 articles

• 1/39 serveurs cloud: une introduction
• 2/39 Une introduction générale au cloud computing
• 3/39 Configuration du serveur initial avec Ubuntu 22.04

Comment configurer le pare-feu Ubuntu avec UFW

Un pare-feu est un système de sécurité pour les réseaux qui surveillent tous les trafics entrants et sortants. Il permet ou bloque des paquets de données basés sur des règles de sécurité prédéfinies.

Si vous exécutez un système de production, il est essentiel pour vous de comprendre comment configurer un pare-feu. Les systèmes protégés par le pare-feu sont moins susceptibles d’être infectés par des informations nuisibles, car elles sont moins exposées à Internet, car le trafic entrant et sortant est strictement filtré en fonction des règles de sécurité.

# Quoi est ufw?

UFW, également appelé pare-feu simple, est un cadre frontal qui fournit une interface simple pour utiliser l’utilitaire iptables pour gérer NetFilter – un système de filtrage de paquets de noyau Linux par défaut. C’est un système de pare-feu intégré pour Ubuntu 20.04 qui simplifie les commandes iptables compliquées et vous permet de créer plus facilement des configurations de pare-feu de base.

UFW utilise une interface de ligne de commande avec un petit nombre de commandes simples. Il prend en charge toutes les règles de pare-feu de base, divers protocoles de réseau, journalisation et bien d’autres fonctionnalités. Vous pouvez consulter une vaste liste de fonctionnalités dans la documentation officielle de l’UFW.

#Conditions préalables

Pour configurer UFW, vous devez avoir les choses suivantes à l’avance:

• Ubuntu 20.04 Système avec privilèges racine
• Connaissance de base de l’interface de ligne de commande (CLI)

NOTE: Ce tutoriel n’est pas seulement applicable à Ubuntu 20.04, mais d’autres versions LTS aussi. Les premières versions d’UFW étaient disponibles depuis Ubuntu 12.04.

#Install UFW pare-feu

UFW est préinstallé avec un système d’exploitation Ubuntu. Cependant, vous pouvez vous assurer que vous avez la dernière version d’UFW en essayant de l’installer en utilisant la commande suivante:

APT INSTALLATION UFW

Maintenant que vous avez installé la dernière version d’UFW, laissez’S Vérifiez son statut en utilisant la commande suivante:

Comme vous pouvez le voir, UFW est inactif par défaut. Nous allons l’activer après avoir apporté des changements importants en premier.

#UFW Politiques de pare-feu par défaut

Si vous commencez avec l’UFW pour la première fois, c’est une bonne idée de revérifier les politiques de pare-feu par défaut. Pour ce faire, vérifiez le fichier de configuration par défaut d’UFW:

Par défaut, UFW est configuré pour nier tout le trafic entrant et permettre tout trafic sortant. Cela signifie que personne n’est en mesure d’atteindre votre système, tandis que vous pouvez faire des demandes sortantes de toute application ou service.

Les stratégies UFW par défaut peuvent être modifiées avec le modèle de commande suivant:

Par exemple, si vous souhaitez autoriser tout le trafic entrant, utilisez la commande suivante:

La valeur par défaut UFW permette

Alors que la commande suivante niera tout le trafic sortant:

UFW par défaut nier sortant

Un message de confirmation sera affiché après chaque changement de politique, par exemple:

#Allow SSH Connections

Par défaut, UFW bloquera tout le trafic entrant, y compris SSH et HTTP. Si vous activez le pare-feu avant de définir une exception, votre session distante actuelle sera terminée et vous avez gagné’Pour pouvoir me connecter à votre serveur.

Pour éviter cela, vous devez autoriser les connexions SSH entrantes en utilisant la commande suivante:

Il ouvrira le port 22 qui est le port par défaut. Comme vous pouvez le voir, deux nouvelles règles de pare-feu ont été ajoutées pour les protocoles IPv4 et IPv6 respectivement:

Si vous avez configuré SSH pour utiliser un autre port, veuillez utiliser une commande plus spécifique pour créer une règle d’autorisation pour les connexions SSH. Par exemple, si vous avez un service SSH écoutant le port 4422, utilisez la commande suivante:

UFW autorise 4422 / TCP

Cette règle de pare-feu permet aux connexions TCP au port 4422.

#Enable pare-feu UFW

Maintenant que votre UFW a été configuré, vous devez l’activer en utilisant la commande suivante:

Cela va démarrer immédiatement UFW Daemon et l’activer sur le démarrage du système. Acceptez l’invite donnée en tapant Y et appuyez sur Entrée pour continuer.

Vous pouvez vérifier qu’il s’exécute à l’aide du SystemCTL Service Manager:

Statut SystemCTL UFW

#Add UFW Règles de pare-feu

Il existe différentes règles de pare-feu que vous pouvez appliquer à votre système via UFW:

• Autoriser – Autoriser le trafic
• Nier – jetez silencieusement la circulation
• Rejeter – Rejeter le trafic et renvoyer un paquet d’erreur à l’expéditeur
• limiter – limiter les connexions à partir d’une adresse IP spécifique qui a tenté d’initier 6 connexions ou plus dans les 30 dernières secondes

Vous pouvez appliquer ces règles de pare-feu dans une portée générique ou plus spécifique. La portée générique applique la règle UFW au trafic entrant et sortant. Vous pouvez l’utiliser avec le modèle de commande suivant:

ufw [règle] [cible]

D’un autre côté, vous souhaiterez peut-être appliquer la règle à celle de trafic entrant ou sortant spécifiquement. Dans ce cas, vous devez utiliser les modèles de commande suivants en conséquence:

ufw [règle] dans [Target]

ufw [règle] out [cible]

Nous allons passer par des exemples pratiques plus tard, afin que vous puissiez voir des applications de la vie réelle.

Les règles du pare-feu UFW peuvent fonctionner sur de nombreuses cibles différentes. Vous pouvez cibler les noms de service, les adresses IP, les ports et même les interfaces réseau. Laisser’s maintenant traverser chacun de ces modèles de ciblage pour voir ce qui est possible.

Profils d’application #target

Lorsque l’UFW est installé, la plupart des applications qui s’appuient sur le réseau pour la communication enregistrent leur profil avec UFW, permettant aux utilisateurs d’autoriser ou de refuser rapidement l’accès externe à cette application.

Vous pouvez vérifier les applications enregistrées à UFW avec la commande suivante:

Voici à quoi peut ressembler votre sortie:

Pour permettre un accès entrant et sortant à l’une de ces applications, utilisez le modèle de commande suivant:

UFW Autoriser [Nom de l’application]

Par exemple, vous pouvez autoriser les connexions OpenSSH avec la commande suivante:

UFW permette d’OpenSSH

Cette règle de pare-feu permet à tous les trafics entrants et sortants pour une application OpenSSH. Vous pouvez être plus précis et autoriser uniquement le trafic SSH avec la commande suivante:

UFW permettez dans OpenSSH

Néanmoins, la meilleure pratique pour permettre un accès SSH dans un serveur distant est d’utiliser l’ensemble de règles limites. Il n’autorise que 6 connexions à partir de la même adresse IP dans les 30 secondes de la fenêtre, vous épargnant d’une attaque brute-force potentielle. Utilisez la limite plutôt que de permettre à Ruleset pour une application OpenSSH dans l’environnement de production:

Limite UFW OpenSSH

#Target IP Adresses

Dans UFW, vous pouvez autoriser ou refuser une adresse IP spécifique avec le modèle de commande suivant:

ufw [règle] de [ip_address]

Par exemple, si vous avez vu une activité malveillante de l’adresse IP 192.168.100.20, vous pouvez bloquer tout le trafic en utilisant la commande suivante:

UFW nie de 192.168.100.20

Bien que vous ayez bloqué tout le trafic entrant à partir de cette adresse IP malveillante, il peut toujours atteindre votre serveur dans certains cas. Cela peut arriver parce que UFW applique ses règles du haut à Buttom. Par exemple, votre première règle peut permettre à tout le trafic entrant vers le port 22 et votre refus de 192.168.100.20 La règle peut être un coup de pas.

Afin d’éviter de telles situations, utilisez l’option Trempend pour ajouter les règles de pare-feu les plus spécifiques en haut de votre liste de règles. La commande finale ressemblerait à ceci:

UFW PRENPEND NEY DE 192.168.100.20

Ports #target

Vous pouvez également cibler des ports ou des gammes de ports spécifiques avec UFW. Par exemple, vous pouvez autoriser les connexions au port 8080 à l’aide de n’importe quel protocole:

Habituellement, vous pouvez être plus spécifique et autoriser uniquement les connexions à un port spécifique en utilisant un protocole réseau particulier. Instance Forn, vous pouvez autoriser les connexions TCP au port 8080 uniquement avec la commande suivante:

UFW autorise 8080 / TCP

Cependant, parfois votre application peut utiliser une gamme de ports pour différentes activités. Dans un tel cas, vous pouvez utiliser la commande suivante pour la liste blanche de la liste blanche:

UFW Autorisez 8080: 9090 / TCP

N’oubliez pas une possibilité de cibler les adresses IP? Si vous ne souhaitez pas bloquer tout le trafic à partir d’une adresse IP, vous pouvez être un peu plus spécifique et ne bloquer que le trafic vers un port spécifique:

UFW nie de 192.168.100.20 à n’importe quel port 53 proto udp

De cette façon, vous bloquerez tout le trafic de 192.168.100.20 du port 53 en utilisant le protocole UDP, qui est généralement réservé à un service DNS.

Voici à quoi ressemblerait votre sortie:

Interfaces réseau #target

Certains systèmes ont plusieurs interfaces réseau configurées qui peuvent nécessiter des règles de pare-feu distinctes. Forutnatelly, UFW vous permet de cibler une interface réseau spécifique et de lui appliquer la règle du pare-feu. Laisser’S essayez-le.

Tout d’abord, énumérez votre système’S le réseau interface avec la commande suivante:

Comme vous pouvez le voir, il existe actuellement trois interfaces réseau sur une configuration sur un Ubuntu 20.04 Système. Laisser’s cible le second nommé eth0 . Pour ce faire, vous devez utiliser l’option ONTH0 dans votre commande UFW:

UFW permettez sur ETH0 de 192.168.100.255

Maintenant tout le trafic de 192.168.100.255 n’est autorisé qu’à l’interface du réseau ETH0:

#Check UFW Règles de pare-feu

Maintenant que vous avez fini d’ajouter vos règles de pare-feu, c’est une bonne idée de vérifier le tableau des règles pour voir les résultats. Vous pouvez vérifier vos règles UFW actives en utilisant la commande suivante:

Pour voir une version plus détaillée des règles de pare-feu UFW, utilisez l’option Verbose:

Statut UFW Verbose

Et si vous voulez simplement voir une liste de règles de manière à les taper pour la première fois, utilisez la commande suivante:

Contrairement à l’état UFW, la commande UFW Show affiche les règles de pare-feu même lorsque UFW est désactivé.

#Delete UFW Règles de pare-feu

Maintenant que vous avez fini d’ajouter des règles de pare-feu, et si vous vouliez en retirer certains? À cette fin, nous avons deux méthodes disponibles: vous pouvez soit supprimer une règle par son numéro, soit la supprimer par son nom. Laisser’s traverser chacun d’eux.

#Delete par numéro

Vous pouvez supprimer les règles UFW en numérotant votre tableau de règles, puis en supprimant une règle spécifique en utilisant son numéro associé.

Tout d’abord, vérifiez une liste numérotée des règles UFW en utilisant la commande suivante:

État UFW numéroté

Comme vous pouvez le voir, vos règles de pare-feu ont désormais des chiffres avec eux que vous pouvez utiliser pour les cibler. Par exemple, laissez’S supprimer désormais la règle numéro 6 en utilisant la commande suivante:

Appuyez simplement sur Y pour accepter l’invite de confirmation et la règle 3 sera supprimée.

#Delete par nom de règle

La deuxième méthode pour supprimer une règle UFW est de le spécifier par son nom. Énumérez d’abord les règles d’une manière que vous les avez frappées pour la première fois:

Laisser’s dis que vous voulez supprimer la règle qui refuse tout le trafic de 192.168.100.20 adresse IP. Pour ce faire, vous devez utiliser la commande de suppression avec un nom de règle nier de 192.168.100.20 . La commande finale ressemblerait à ceci:

UFW Supprimer nier de 192.168.100.20

#Manage des journaux UFW

UFW prend en charge plusieurs niveaux de journalisation, vous pouvez donc jeter un œil de près à votre activité de réseautage. Par défaut, UFW enregistre tous les paquets bloqués ne correspondent pas à la politique définie, ainsi que les paquets correspondant à vos règles définies. Ceci est un niveau de journalisation faible que vous pouvez modifier si nécessaire.

Vous pouvez vérifier votre activité de journalisation avec la commande suivante:

Statut UFW Verbose

La deuxième ligne de la sortie montre que la journalisation est activée avec le niveau de journalisation réglé sur bas.

Niveau de journalisation UFW #set

Il y a cinq niveaux de journalisation UFW. Chacun d’eux a une politique de journalisation différente et collecte de plus en plus de données. Veuillez noter que les niveaux de journal supérieurs au milieu peuvent générer beaucoup de sortie de journalisation et peuvent rapidement remplir un disque sur un système occupé, alors utilisez-les soigneusement.

• OFF – désactive la journalisation gérée par UFW.
• LOW – JOGNS Tous les paquets bloqués ne correspondent pas à la stratégie par défaut, ainsi que les paquets correspondant aux règles prédéfinies.
• moyen – identique à ci-dessus, plus tous les paquets autorisés ne correspondent pas à la politique définie, à tous les paquets non valides et à toutes les nouvelles connexions.
• High – Identique à ci-dessus, juste sans limitation de taux, plus tous les paquets avec limitation de taux.
• Plein – Identique à ci-dessus, juste sans limite de taux.

Vous pouvez modifier le niveau de journalisation faible par défaut avec le modèle de commande suivant:

journalisation UFW [niveau]

Par exemple, utilisez la commande suivante pour modifier le niveau de journalisation en milieu:

médium de journalisation UFW

De cette façon, vous avez activé le niveau de journalisation moyenne avec une lunette de journalisation accrue.

#Understand UFW Journaux

Les fichiers journaux sont stockés dans le répertoire / var / log /. Vous pouvez utiliser la commande LS pour répertorier tous les fichiers journaux créés par l’UFW:

Vous pouvez maintenant inspecter vos fichiers journaux pour trouver des informations pertinentes sur l’activité UFW, par exemple:

Comme vous pouvez le voir, il existe une grande quantité d’informations disponibles pour que vous compreniez l’activité UFW. Une seule ligne peut ressembler à ceci:

2 janvier 00:00:14 Kernel Ubuntu-Sandbox: [142705.160851] [BLOC UFW] IN = ETH0 OUT = Mac = 52: 54: 21: 9A: CA: D7: Fe: 54: 21: 9A: CA: D7: 08: 00 SRC = 198.144.159.22 dst = 5.199.162.56 len = 40 TOS = 0x00 Prec = 0x00 TTL = 239 Proto = TCP SPT = 49194 DPT = 10164 Window = 1024 Res = 0x00 syn Urgp = 0

Laisser’s désormais cette ligne de journaux UFW pour mieux comprendre sa signification. Les variables les plus informatives sont probablement les adresses SRC et DST IP avec leurs numéros de port associés SPT et DPT, mais il est utile de les comprendre tous:

• [Bloc UFW]: a indiqué que le paquet était bloqué
• In = eth0: périphérique de trafic entrant.
• Out =: Le dispositif de trafic sortant est vide, car le trafic était entrant.
• Mac = 52: 54: 21: 9A: CA: D7: Fe: 54: 21: 9A: CA: D7: 08: 00: L’appareil’S Adresse MAC.
• Src = 198.144.159.22: Adresse IP source d’un expéditeur de paquets.
• Dst = 5.199.162.56: Adresse IP de destination destinée à recevoir un paquet. Dans ce cas, c’était mon adresse IP.
• Len = 40: longueur de paquet.
• TOS = 0x00 et Prec = 0x00: variables obsolètes qui ne sont pas pertinentes et définies sur 0.
• TTL = 239: Il est temps de vivre pour un paquet. Chaque paquet ne peut rebondir que dans le nombre de routeurs donnés avant qu’il ne soit terminé.
• ID = 61187: ID unique pour le datagramme IP, partagé par des fragments du même paquet.
• Proto = TCP: protocole utilisé.
• SPT = 49194: Port source d’une connexion. Ce port peut indiquer quel service a initié la tentative de connexion.
• Dpt = 10164: port de destination d’une connexion. Ce port peut indiquer quel service devait recevoir la tentative de connexion.
• Fenêtre = 1024: la taille du paquet que l’expéditeur est prêt à recevoir.
• Res = 0x00: ce bit est réservé à une utilisation future. Il est actuellement sans rapport.
• Syn urgp = 0: syn indiqué que cette connexion nécessite une poignée de main à trois, URGP signifie une pertinence d’urgence du pointeur qui n’est pas pertinent et définie sur 0.

Réinitialiser la configuration UFW

Il y a des moments où vous devez démarrer votre configuration à partir de zéro. Dans le cas où vous souhaitez réinitialiser votre configuration UFW vers les paramètres par défaut, il y a une commande à cet effet:

Entrez Y lorsque vous êtes invité et appuyez sur Entrée pour réinitialiser toutes les règles de pare-feu actif et éteignez le démon UFW. Comme vous pouvez le voir, UFW crée automatiquement des fichiers de sauvegarde pour les règles que vous venez de réinitialiser, au cas où vous changeriez d’avis ou que vous souhaitez les revoir à l’avenir.

#Conclusion

Vous savez maintenant comment configurer et gérer le système de pare-feu UFW sur Ubuntu 20.04. Pour une référence future, n’hésitez pas à utiliser la documentation officielle d’Ubuntu pour rafraîchir votre mémoire sur les fonctionnalités de base et en savoir plus sur la fonctionnalité avancée UFW: https: // wiki.ubuntu.com / simple

Mantas Levinas

Aider les ingénieurs à apprendre �� sur les nouvelles technologies et les cas d’utilisation de l’automatisation informatique ingénieux pour construire de meilleurs systèmes ��

Rejoignez la communauté des serveurs Cherry

Obtenez des guides pratiques mensuels concernant la construction de systèmes plus sûrs, efficaces et plus faciles à évoluer sur un écosystème de cloud ouvert.