Un pare-feu correctement configuré est l’un des aspects les plus importants de la sécurité globale du système. Par défaut, Ubuntu est fourni avec un outil de configuration de pare-feu appelé UFW (Uncomplicated Firewall). UFW est une interface utilisateur conviviale pour la gestion des règles de pare-feu iptables. Son objectif principal est de faciliter la gestion d’iptables ou, comme son nom l’indique, d’être simple.
Sommaire
Conditions préalables
Avant de commencer avec ce didacticiel, assurez-vous que vous êtes connecté à votre serveur avec un compte utilisateur doté de privilèges sudo ou avec l’utilisateur root. La meilleure pratique consiste à exécuter des commandes administratives en tant qu'utilisateur sudo au lieu de root. Si vous n'avez pas d'utilisateur sudo sur votre système Ubuntu, vous pouvez en créer un en suivant ces instructions.
Installer UFW
Un pare-feu simple devrait être installé par défaut dans Ubuntu 18.04, mais s'il n'est pas installé sur votre système, vous pouvez installer le paquet en tapant:
Vérifier le statut UFW
Une fois l'installation terminée, vous pouvez vérifier le statut d'UFW à l'aide de la commande suivante:
UFW est désactivé par défaut. Si vous n'avez jamais activé UFW auparavant, la sortie ressemblera à ceci:
Si UFW est activé, la sortie ressemblera à ce qui suit:
Politiques UFW par défaut
Par défaut, UFW bloquera toutes les connexions entrantes et autorisera toutes les connexions sortantes. Cela signifie que toute personne essayant d'accéder à votre serveur ne pourra pas se connecter à moins que vous n'ouvriez spécifiquement le port, tandis que toutes les applications et tous les services exécutés sur votre serveur pourront accéder au monde extérieur.
Les politiques par défaut sont définies dans le / etc / default / ufw fichier et peut être modifié en utilisant le sudo ufw default commander.
Les stratégies de pare-feu constituent le fondement de la création de règles plus détaillées et définies par l'utilisateur. Dans la plupart des cas, les stratégies par défaut initiales UFW constituent un bon point de départ.
Profils d'application
Lors de l'installation d'un paquet avec le apte commande, il va ajouter un profil d'application à /etc/ufw/applications.d annuaire. Le profil décrit le service et contient les paramètres UFW.
Vous pouvez répertorier tous les profils d'application disponibles sur votre serveur en tapant:
En fonction des packages installés sur votre système, la sortie ressemblera à ce qui suit:
Pour trouver plus d'informations sur un profil spécifique et les règles incluses, utilisez la commande suivante:
Informations sur l'application 'Nginx Full'
Profil: Nginx Full
Titre: Serveur Web (Nginx, HTTP + HTTPS)
Description: serveur web petit mais très puissant et efficace
Ports:
80 443 / tcp
Comme vous pouvez le voir dans la sortie ci-dessus, le profil «Nginx Full» ouvre le port 80 et 443.
Autoriser les connexions SSH
Avant d'activer le pare-feu UFW, nous devons ajouter une règle qui autorisera les connexions SSH entrantes. Si vous vous connectez à votre serveur depuis un emplacement distant, ce qui est presque toujours le cas et vous activez le pare-feu UFW avant d’autoriser explicitement les connexions SSH entrantes, vous ne pourrez plus vous connecter à votre serveur Ubuntu.
Pour configurer votre pare-feu UFW pour autoriser les connexions SSH entrantes, tapez la commande suivante:
Règles mises à jour
Règles mises à jour (v6)
Si vous avez changé le port SSH en un port personnalisé au lieu du port 22, vous devrez ouvrir ce port.
Par exemple, si votre démon ssh écoute sur le port 4422, vous pouvez alors utiliser la commande suivante pour autoriser les connexions sur ce port:
Activer UFW
Maintenant que votre pare-feu UFW est configuré pour autoriser les connexions SSH entrantes, nous pouvons l'activer en tapant:
La commande peut perturber les connexions ssh existantes. Procéder à l'opération (y | n)? y
Le pare-feu est actif et activé au démarrage du système
Vous serez averti que l'activation du pare-feu peut perturber les connexions ssh existantes. Tapez simplement y et frapper Entrer.
Autoriser les connexions sur d'autres ports
En fonction des applications qui s'exécutent sur votre serveur et de vos besoins spécifiques, vous devrez également autoriser l'accès entrant à certains autres ports.
Ci-dessous, nous allons vous montrer quelques exemples sur la façon d'autoriser les connexions entrantes vers certains des services les plus courants:
Ouvrir le port 80 – HTTP
Les connexions HTTP peuvent être autorisées avec la commande suivante:
au lieu de http, vous pouvez utiliser le numéro de port 80:
ou vous pouvez utiliser le profil d’application, dans ce cas, «Nginx HTTP»:
sudo ufw autorise 'Nginx HTTP'
Ouvrir le port 443 – HTTPS
Les connexions HTTP peuvent être autorisées avec la commande suivante:
Réaliser la même chose au lieu de https profil, vous pouvez utiliser le numéro de port, 443:
ou vous pouvez utiliser le profil d’application, "Nginx HTTPS":
sudo ufw autorise 'Nginx HTTPS'
Ouvrir le port 8080
Si vous exécutez Tomcat ou toute autre application qui écoute sur le port 8080 pour autoriser les connexions entrantes, tapez:
Autoriser les plages de ports
Au lieu de permettre l'accès à des ports uniques, UFW nous permet d'autoriser l'accès aux plages de ports. Lorsque vous autorisez des plages de ports avec UFW, vous devez spécifier le protocole, soit tcp ou UDP. Par exemple, si vous souhaitez autoriser les ports de 7100 à 7200 à la fois tcp et UDP puis exécutez la commande suivante:
Pour autoriser l’accès sur tous les ports de votre ordinateur personnel avec une adresse IP de 64.63.62.61, spécifiez de suivi de l'adresse IP que vous souhaitez ajouter à la liste blanche:
sudo ufw permettre de 64.63.62.61
Autoriser des adresses IP spécifiques sur un port spécifique
Pour autoriser l’accès sur un port spécifique, disons le port 22 de votre ordinateur avec l’adresse IP 64.63.62.61, utilisez à n'importe quel port suivi du numéro de port:
sudo ufw permettre de 64.63.62.61 à n’importe quel port 22
Autoriser les sous-réseaux
La commande permettant d'autoriser la connexion à un sous-réseau d'adresses IP est identique à celle utilisée lors de l'utilisation d'une seule adresse IP. La seule différence est que vous devez spécifier le masque de réseau. Par exemple, si vous souhaitez autoriser l'accès aux adresses IP allant de 192.168.1.1 à 192.168.1.254 au port 3360 (MySQL), vous pouvez utiliser la commande suivante:
sudo ufw permettre de 192.168.1.0/24 à n’importe quel port 3306
Autoriser les connexions à une interface réseau spécifique
Pour autoriser l’accès sur un port spécifique, disons que le port 3360 ne doit être utilisé que sur une interface réseau spécifique eth2alors vous devez spécifier permettre à et le nom de l'interface réseau:
sudo ufw autoriser sur eth2 à n’importe quel port 3306
Refuser les connexions
La stratégie par défaut pour toutes les connexions entrantes est définie sur Nier et si vous ne l’avez pas modifiée, UFW bloquera toutes les connexions entrantes, à moins que vous ne les ouvriez spécifiquement.
Disons que vous avez ouvert les ports 80 et 443 et votre serveur est attaqué par le 23.24.25.0/24 réseau. Refuser toutes les connexions de 23.24.25.0/24 vous pouvez utiliser la commande suivante:
sudo ufw nier du 23.24.25.0/24
Si vous souhaitez uniquement refuser l'accès aux ports 80 et 443 de 23.24.25.0/24 vous pouvez utiliser la commande suivante:
sudo ufw nier du 23.24.25.0/24 à n’importe quel port 80
sudo ufw refuser du 23.24.25.0/24 à n’importe quel port 443
L’écriture de règles de refus est la même chose que l’écriture de règles d’autorisation, il vous suffit de remplacer permettre avec Nier.
Supprimer les règles UFW
Il existe deux manières différentes de supprimer des règles UFW, par numéro de règle et en spécifiant la règle réelle.
La suppression de règles UFW par numéro de règle est plus facile, en particulier si vous débutez dans UFW. Pour supprimer une règle par un numéro de règle, vous devez d'abord trouver le numéro de la règle que vous souhaitez supprimer. Vous pouvez le faire à l'aide de la commande suivante:
Statut: actif
À l'action de
- ------ ----
[ 1] 22 / tcp ALLOW IN N'importe où
[ 2] 80 / tcp ALLOW IN N'importe où
[ 3] 8080 / tcp ALLOW IN N'importe où
Pour supprimer la règle numéro 3, qui autorise les connexions au port 8080, utilisez la commande suivante:
La deuxième méthode consiste à supprimer une règle en spécifiant la règle réelle, par exemple si vous avez ajouté une règle pour ouvrir le port. 8069 vous pouvez le supprimer avec:
sudo ufw supprimer permettre 8069
Désactiver UFW
Si, pour une raison quelconque, vous souhaitez arrêter UFW et désactiver toutes les règles, vous pouvez utiliser:
Plus tard, si vous souhaitez réactiver UTF et activer toutes les règles, tapez simplement:
Réinitialiser UFW
Réinitialiser UFW désactivera UFW et supprimera toutes les règles actives. Ceci est utile si vous souhaitez annuler toutes vos modifications et recommencer à zéro.
Pour réinitialiser UFW, tapez simplement la commande suivante:
Conclusion
Vous avez appris comment installer et configurer le pare-feu UFW sur votre serveur Ubuntu 18.04. Veillez à autoriser toutes les connexions entrantes nécessaires au bon fonctionnement de votre système, tout en limitant toutes les connexions inutiles.
Si vous avez des questions, n'hésitez pas à laisser un commentaire ci-dessous.
Tutos Gameserver respecte votre vie privée et vos données personnelles
Nous utilisons des cookies sur notre site Web pour vous offrir l'expérience la plus pertinente en mémorisant vos préférences et vos visites répétées.
Les cookies sont utilisés pour la publicité personnalisée.
En cliquant sur "Accepter tout", vous consentez à l'utilisation de TOUS les cookies. Cependant, vous pouvez visiter "Paramètres des cookies" pour fournir un consentement contrôlé dans nos Mentions Légales.
Google et sites partenaires : Google’s Privacy & Terms site
This website uses cookies to improve your experience while you navigate through the website. Out of these, the cookies that are categorized as necessary are stored on your browser as they are essential for the working of basic functionalities of the website. We also use third-party cookies that help us analyze and understand how you use this website. These cookies will be stored in your browser only with your consent. You also have the option to opt-out of these cookies. But opting out of some of these cookies may affect your browsing experience.
Necessary cookies are absolutely essential for the website to function properly. These cookies ensure basic functionalities and security features of the website, anonymously.
Cookie
Durée
Description
cookielawinfo-checkbox-analytics
11 months
This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional
11 months
The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary
11 months
This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others
11 months
This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance
11 months
This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy
11 months
The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.
Functional cookies help to perform certain functionalities like sharing the content of the website on social media platforms, collect feedbacks, and other third-party features.
Performance cookies are used to understand and analyze the key performance indexes of the website which helps in delivering a better user experience for the visitors.
Analytical cookies are used to understand how visitors interact with the website. These cookies help provide information on metrics the number of visitors, bounce rate, traffic source, etc.
Advertisement cookies are used to provide visitors with relevant ads and marketing campaigns. These cookies track visitors across websites and collect information to provide customized ads.
Commentaires
Laisser un commentaire