UFW, abréviation de «pare-feu simple», est une interface pour les plus complexes iptables
utilitaire. Il est conçu pour rendre la gestion d'un pare-feu aussi simple que de configurer les ports pour qu'ils soient ouverts et fermés, et de réguler le trafic qui est autorisé à passer.
Configurer UFW
UFW est installé par défaut dans Ubuntu, mais si ce n'est pas le cas, vous pouvez l'installer à partir de apte
:
sudo apt-get install ufw
Si vous exécutez une autre distribution, vous devrez utiliser le gestionnaire de packages de cette distribution, mais UFW est largement disponible. Vous pouvez vérifier l'état du pare-feu avec:
état sudo ufw
Ce qui devrait indiquer "Inactif" si vous ne l'avez pas configuré auparavant.
Un bon point de départ avec un pare-feu est de fermer tout le trafic entrant et d'autoriser le trafic sortant. Ne vous inquiétez pas, cela ne coupera pas votre connexion SSH tout de suite, car le pare-feu n'est pas encore activé.
sudo ufw par défaut refuser l'entrée sudo ufw par défaut autoriser les sorties
Cela nous donne une ardoise vierge sur laquelle travailler et ajouter des règles.
Ouverture de ports avec UFW
Pour ouvrir les ports, utilisez la commande ufw permettre
. Par exemple, vous devrez ouvrir le port 22, alors allez-y et exécutez:
sudo ufw autoriser 22
Vous pouvez également laisser une note pour votre futur moi lors de l'ajout d'une règle:
sudo ufw allow 8080 / tcp comment 'Ouvrir le port pour l'API Express'
De nombreuses applications installent des profils pour UFW, SSH étant l'un d'entre eux. Vous pouvez donc également autoriser certaines applications à ouvrir les ports dont elles ont besoin en spécifiant le nom:
sudo ufw autorise ssh
Vous pouvez afficher une liste des applications disponibles avec liste des applications ufw
et afficher les détails d'une application avec info sur l'application ufw (nom)
.
Vous pouvez également autoriser toute une gamme de ports en utilisant un signe deux-points comme séparateur, et vous pouvez spécifier un protocole. Par exemple, pour autoriser uniquement le trafic TCP sur les ports 3000 à 3100, vous pouvez exécuter:
sudo ufw autoriser 3000: 3100 / tcp
Étant donné que la valeur par défaut est de refuser l'entrée, vous n'aurez pas à fermer manuellement les ports. Si vous souhaitez fermer un port sortant, vous devez spécifier une direction à côté rejeter ufw
:
sudo ufw rejette 3001
Liste blanche et limitation de débit avec UFW
Vous pouvez autoriser certaines adresses IP à avoir des autorisations différentes. Par exemple, pour autoriser tout le trafic de votre adresse IP, vous pouvez exécuter:
sudo ufw autorise 192.168.1.1
Pour ajouter des ports spécifiques à la liste blanche, vous devrez utiliser la syntaxe la plus complète:
sudo ufw autorise proto tcp de 192.168.1.1 à n'importe quel port 22
Vous ne voudrez probablement pas mettre sur liste blanche l'accès SSH de cette manière, sauf si vous avez une connexion de secours ou une sorte de configuration de coupure de port, car les adresses IP changent assez fréquemment. Une option si vous ne souhaitez restreindre l'accès SSH qu'à vous est de configurer un serveur OpenVPN dans le même cloud privé et de mettre en liste blanche l'accès à ce serveur.
Si vous souhaitez mettre sur liste blanche tout un bloc d'adresses IP, comme c'est le cas lorsque vous exécutez vos serveurs via un fournisseur de cloud privé virtuel, vous pouvez utiliser la notation de sous-réseau CIDR standard:
sudo ufw autorise 192.168.0.0/24
Les sous-réseaux sont assez compliqués, vous pouvez donc lire notre guide pour travailler avec eux pour en savoir plus.
La limitation de débit est une autre fonctionnalité utile des pare-feu qui peut bloquer les connexions manifestement abusives. Ceci est utilisé pour se protéger contre un attaquant qui tente de forcer brutalement un port SSH ouvert. Évidemment, vous pouvez ajouter le port à la liste blanche pour le protéger entièrement, mais la limitation de débit est quand même utile. Par défaut, le débit UFW limite 6 connexions toutes les 30 secondes et il est destiné à être utilisé pour SSH:
sudo ufw limite ssh
Activer UFW
Une fois que vous avez terminé de configurer vos règles, vous pouvez activer UFW. Assurez-vous que SSH sur le port 22 est ouvertou vous vous enfermerez. Si vous le souhaitez, vous pouvez désactiver l'exécution d'UFW au démarrage afin qu'une réinitialisation résout tous les problèmes potentiels:
sudo systemctl désactiver ufw
Ensuite, vous pouvez activer UFW avec:
sudo ufw activer
Si tout va bien, tu peux courir statut ufw
pour afficher l'état actuel du pare-feu. Si vous n'êtes pas verrouillé et que le pare-feu est en cours d'exécution, configurez-le pour qu'il s'exécute au démarrage avec:
sudo systemctl activer ufw
Chaque fois que vous apportez des modifications, vous devez recharger le pare-feu avec:
rechargement sudo ufw
Vous pouvez également activer la journalisation pour enregistrer les connexions à / var / log /
:
sudo ufw connexion
Gérer et supprimer des règles
Si vous souhaitez supprimer une règle, vous devrez obtenir son numéro avec:
état sudo ufw numéroté
Notez que les nombres commencent à 1 et non à 0. Vous pouvez supprimer une règle par numéro:
sudo ufw supprimer (nombre)
Encore une fois, assurez-vous de ne pas supprimer votre règle en gardant le port 22 ouvert. Vous pouvez utiliser le - à sec
paramètre pour que UFW vous demande confirmation:
Si vous apportez des modifications, vous devrez à nouveau recharger le pare-feu.